Ландшафт киберугроз для корпоративного сектора претерпевает фундаментальные изменения. Если ранее целевые атаки на сетевое оборудование ассоциировались преимущественно с продвинутыми группами, поддерживаемыми государствами (так называемыми APT, или Advanced Persistent Threat), то теперь этот вектор активно осваивают и обычные криминальные группировки. Об этом свидетельствует обнаружение двух новых образцов вредоносного программного обеспечения, нацеленных на устройства сетевой инфраструктуры, включая межсетевые экраны, роутеры и серверы. Эта тенденция подтверждается данными аналитиков: согласно отчету Verizon за 2025 год, количество эксплуатаций уязвимостей в сетевых устройствах выросло в восемь раз, а половина всех использованных в том же году уязвимостей нулевого дня, по данным Google, затрагивала именно сетевые и security-технологии.
Описание
6 марта 2026 года исследовательская компания Eclypsium обнаружила и проанализировала два ранее неизвестных вредоносных образца. Первый, получивший название CondiBot, представляет собой эволюцию ботнета Condi, происходящего от печально известного Mirai. Это многоплатформенный бинарный файл, написанный на языке C, предназначенный для превращения скомпрометированных устройств под управлением Linux в узлы для масштабных сетевых атак, таких как распределённые атаки на отказ в обслуживании (DDoS). Второй образец, условно названный «Монако», - это сканер SSH и криптомайнер, написанный на Go. Его цель - подбор слабых учётных данных для SSH с последующей установкой на захваченные серверы, IoT-устройства и сетевое оборудование майнера криптовалюты Monero.
Анализ образца CondiBot показал, что это универсальный агент ботнета для Linux, способный работать на любом уязвимом устройстве, независимо от вендора. Его механизм доставки использует несколько методов загрузки (wget, curl, tftp), чтобы гарантированно доставить полезную нагрузку для различных архитектур процессоров: ARM, MIPS и x86. После заражения бот отключает функции перезагрузки системы, манипулируя аппаратным watchdog-таймером, подключается к серверу командования и управления (C2) и уничтожает процессы, принадлежащие другим ботнетам, что указывает на жёсткую конкурентную борьбу за ресурсы устройств. Особенностью данной версии является наличие идентификатора «QTXBOT», не встречавшегося в более ранних описаниях Condi, а также поддержка 32 различных обработчиков атак, что может говорить о новых техниках сетевых флуд-атак.
Что касается «Монако», то его операция отличается сравнительно низкой сложностью, но высокой эффективностью за счёт широкого охвата. Модуль сканирования перебирает случайные публичные IP-адреса, исключая лишь зарезервированные частные диапазоны, и пытается подобрать пароль к SSH, используя около 50 вариантов, включая стандартные вроде «root» или «admin» и простые числовые последовательности. После успешного взлома майнер копирует себя в директорию "/tmp/", настраивает процессор для максимальной эффективности майнинга, запускает модифицированный клиент XMRig и отправляет скомпрометированные учётные данные на свой C2-сервер. По косвенным признакам, таким как использование Alibaba Cloud и паттерны в коде, исследователи предполагают, что за кампанией стоит китайскоязычный угрозный актор.
Этот инцидент наглядно демонстрирует, почему сетевое оборудование стало столь привлекательной мишенью. Во-первых, оно часто остаётся вне поля зрения традиционных систем безопасности класса EDR/XDR, которые не могут установить агенты на встроенное ПО (прошивку) роутеров или коммутаторов, создавая «слепую зону». Во-вторых, будучи вынесенным в интернет по дизайну (как VPN-шлюзы или веб-интерфейсы управления), оно позволяет злоумышленникам получить первоначальный доступ без взаимодействия с пользователем, в обход периметра. В-третьих, закрепившись на уровне прошивки, вредоносная программа может пережить даже полную переустановку операционной системы на подключенных серверах, обеспечивая долгосрочное присутствие в сети. Наконец, контроль над ключевым сетевым узлом открывает беспрецедентные возможности для перемещения между сегментами сети, перехвата трафика и атак на смежные системы, включая технологические сети.
Для защиты от подобных угроз специалистам по информационной безопасности рекомендуется пересмотреть подход к мониторингу сетевой инфраструктуры. Ключевыми мерами являются своевременное применение исправлений для прошивок, принудительная смена паролей по умолчанию и реализация сегментации сети, ограничивающей потенциальный ущерб от скомпрометированного устройства. Кроме того, необходимы специализированные решения, способные анализировать целостность прошивок и обнаруживать аномалии в поведении сетевых устройств, что выходит за рамки возможностей классических систем защиты конечных точек.
Индикаторы компрометации
IPv4
- 65.222.202.53
- 8.222.206.6
Domain Port Combinations
- gulf.moneroocean.stream:20128
MD5
- 3781a533e77c89dfb575d3a94ddf035f
SHA1
- 8ac8424de629de2cdc4f76618862d4801c5ff6cc
SHA256
- 08e386e9217eac061db97319962523562b292969192bf4505d431a6d087b8057
- 6bbde22f2319b2498e93ba14570668592d029193a3e48e928d461a001e4e6de1
- 7fc6cee89496d01cf39adc90277d5cdad97d3a9d1eeee02015f322715b93a8d5
- 92d8909813dbe7b5471e60fc08f18a1973adcc04b3489ae3b0b667bfbfd7c0e0
- 938b3f1d82282c52480db8887613d3b6a634e4c7e974b66437acbdbf5cae84ce
- 98e6884ae15a4f6c0142d9e5edd09d596090a7ea5bbcb642da7f1a6536ee0dca
- d322ce52f7136d953471ebf5af4179e3b4259845a3ff0c9fdccc3236c8221f52
- d8edeb122ec3746e57ddeefc567a9d4994a3ab1d4e4938f82b31cbb67ca6e6bc
- e40985dfc480b290cd50919c2c7696c908ae84a1443ef5573e700e52b26377c3
