Распределённые кибератаки наращивают интенсивность, используя уязвимости в сетевом оборудовании

Согласно отчёту, в Китае (CN) наблюдается активность ботнетов Mozi и Mirai. Эти сети заражают устройства, используя слабые учётные данные по умолчанию или уязвимости в прошивках. Особое внимание привлекает эксплуатация уязвимости Multiple Routers GPON formLogin Remote Command Injection. Эта брешь в системе аутентификации многих маршрутизаторов GPON позволяет выполнять произвольные команды. В результате устройства превращаются в часть ботнета без ведома владельцев.

В США (US) аналитики зафиксировали трафик, характерный для старого, но модифицированного инструмента удалённого администрирования Back Orifice. Одновременно активен ботнет SystemBC, который часто выступает в роли прокси-сервера или средства доставки вредоносного ПО (malware), например, программ-вымогателей (ransomware). Также отмечены попытки атак через уязвимость path traversal в каталоге cgi-bin серверов Apache HTTP Server, что может привести к утечке конфиденциальных данных или выполнению кода.

Наиболее разнообразный набор угроз выявлен в Индии (IN). Здесь злоумышленники одновременно эксплуатируют три критические уязвимости в сетевом оборудовании. Помимо уже упомянутой проблемы в маршрутизаторах GPON, активно используется уязвимость в маршрутизаторах NETGEAR DGN1000 (CGI Unauthenticated Remote Code Execution), позволяющая выполнять код без аутентификации. Дополняет картину атака на оборудование Dasan GPON через уязвимость для удалённого выполнения кода (Remote Code Execution). Такая комбинация указывает на целенаправленные усилия по захвату контроля над максимальным количеством устройств для создания мощной инфраструктуры.

Эксперты отмечают, что наблюдаемая картина не является случайной. Атаки носят скоординированный и автоматизированный характер. Использование старых, но до сих пор не исправленных уязвимостей, таких как в NETGEAR DGN1000, подчёркивает проблему низкой кибергигиены среди обычных пользователей и малого бизнеса, которые редко обновляют прошивки. Ботнеты вроде Mirai эволюционируют, добавляя в свой арсенал новые векторы атак для повышения устойчивости (persistence) и уклонения от обнаружения.

Текущая ситуация демонстрирует классический сценарий. Злоумышленники стремятся скомпрометировать как можно больше устройств интернета вещей (IoT) и сетевого периферийного оборудования. Впоследствии эти заражённые системы используются как платформа для более разрушительных действий. Например, для масштабных DDoS-аток на критическую инфраструктуру или коммерческие организации. Другой целью может быть установка программ для скрытого майнинга или создания каналов для утечки данных.

Киберразведка предупреждает, что подобные кампании будут только наращивать обороты. Поэтому необходимо принимать превентивные меры. Специалисты рекомендуют в обязательном порядке менять пароли по умолчанию на всех сетевых устройствах. Также критически важно регулярно проверять и устанавливать обновления прошивок от производителей. Для корпоративных пользователей эффективной мерой станет сегментация сети, чтобы изолировать потенциально уязвимое IoT-оборудование от основных бизнес-систем. Мониторинг сетевого трафика на предмет аномальной активности также поможет вовремя обнаружить инцидент.

Таким образом, данные Starlight Intelligence служат своевременным напоминанием о постоянной угрозе со стороны крупных ботнетов. Уязвимости в популярном сетевом оборудовании остаются излюбленным инструментом киберпреступников. Только последовательное применение базовых мер безопасности может значительно снизить риск попадания устройства в глобальную злонамеренную сеть.

IPv4

• 103.160.197.20
• 103.197.113.248
• 103.207.224.218
• 106.40.81.20
• 110.238.78.145
• 112.240.111.60
• 112.248.63.6
• 114.243.104.17
• 115.48.154.84
• 115.48.52.47
• 117.206.10.18
• 117.208.242.170
• 117.209.83.248
• 117.216.176.114
• 117.216.188.84
• 117.217.39.84
• 117.83.114.68
• 119.115.173.223
• 120.138.12.236
• 120.85.118.115
• 123.10.137.205
• 123.190.130.64
• 124.131.135.199
• 124.92.80.129
• 13.210.1.65
• 139.135.59.113
• 139.59.94.73
• 139.87.112.57
• 142.248.29.44
• 142.93.147.144
• 143.198.238.87
• 146.190.63.153
• 156.195.180.134
• 156.205.213.134
• 157.156.77.200
• 158.94.208.232
• 159.203.8.59
• 164.90.164.211
• 165.232.188.221
• 167.172.111.162
• 167.71.157.157
• 170.64.202.133
• 172.245.23.181
• 174.138.56.252
• 175.107.205.151
• 175.43.90.130
• 18.118.247.225
• 18.118.48.222
• 18.119.100.4
• 182.116.119.175
• 182.121.8.18
• 197.37.225.8
• 197.49.145.154
• 197.49.50.156
• 197.52.80.169
• 197.52.83.59
• 202.21.42.34
• 202.21.42.56
• 202.21.42.78
• 203.101.181.58
• 206.189.62.231
• 209.38.72.104
• 212.57.185.186
• 221.215.211.18
• 222.127.248.61
• 222.140.99.194
• 223.122.0.57
• 27.122.61.250
• 27.122.61.31
• 3.135.225.67
• 3.135.227.201
• 3.139.94.62
• 3.144.214.53
• 3.145.118.163
• 3.145.217.254
• 3.16.40.164
• 3.21.28.250
• 31.220.94.92
• 37.252.69.10
• 38.248.6.198
• 39.88.2.60
• 39.90.152.139
• 41.39.176.140
• 42.180.76.132
• 42.54.150.197
• 43.134.88.53
• 45.8.19.221
• 59.182.210.32
• 59.184.248.163
• 59.88.89.198
• 66.167.169.152
• 66.167.169.220
• 72.255.26.49
• 78.142.18.135
• 81.57.108.137
• 84.247.131.42
• 87.121.84.116
• 89.187.144.76
• 89.212.146.219
• 94.243.10.179