Исследователи LevelBlue Labs сообщают, что многофункциональный ботнет-прокси-сервер Ngioweb продолжает работать с минимальными изменениями в своем оригинальном коде. Злоумышленники используют Ngioweb для сканирования и заражения уязвимых устройств, включая системы Linear eMerge, маршрутизаторы Zyxel, пылесосы Neato и другие устройства Интернета вещей (IoT), превращая их в прокси-серверы для жилых помещений.
Ngioweb Botnet
Эти прокси продаются на черном рынке через сервис Nsocks, который предлагает доступ к более чем 30 000 IP-адресов по всему миру. Большинство жертв - пользователи домашних интернет-провайдеров, причем заражения происходят преимущественно в США, Великобритании, Канаде, Японии и Индии. В ботнете используется алгоритм генерации доменов (DGA) для командно-контрольной связи (C2), а для проверки подлинности используется уникальный зашифрованный TXT-ответ. Как только устройство скомпрометировано, оно сообщает об этом серверу C2 и начинает работать в качестве прокси-сервера без ведома жертвы.
Nsocks, принимающий Bitcoin или Litecoin, классифицирует зараженные системы по типу организации или IP-адресу, причем больший процент приходится на категории ISP для индивидуальных пользователей, за которыми следуют Data Center/Web Hosting/Transit (DCH). Вредоносное ПО эволюционировало, используя целый ряд уязвимостей и «нулевых дней», при этом для каждой уязвимости или типа устройства существуют специальные сканеры, позволяющие минимизировать обнаружение. Например, уязвимость CVE-2019-7256 использовалась для получения доступа к продуктам Linear серии eMerge E3. LevelBlue Labs сообщает, что ботнет вырос с 3 000 ежедневных IP-адресов в 2020 году до почти 30 000 IP-адресов в 2024 году, что является значительным увеличением масштабов этой угрозы.
Indicators of Compromise
IPv4
- 141.98.82.229
- 154.7.253.113
- 216.107.139.52
- 91.227.77.217
Domains
- exagenafy.com
- misukumotist.info
- monobimefist.com
- prenurevaty.info
- Remalexation.name
SHA256
- be285b77211d1a33b7ae1665623a9526f58219e20a685b6548bc2d8e857b6b44