Starlight Intelligence выявила наиболее активные векторы атак в разных странах

В Соединенных Штатах наибольшую активность злоумышленников вызывают три основных вектора: Back Orifice Traffic, связанный с использованием устаревшего, но до сих пор применяемого вредоносного ПО (malicious software) для удаленного управления системами; уязвимость Telerik Web UI RadAsyncUpload, позволяющая произвольную загрузку файлов; и уязвимость FortiOS SSL VPN Web Portal, ведущая к раскрытию конфиденциальной информации. Эти угрозы часто используются для получения первоначального доступа в инфраструктуру организаций.

В Китае доминируют атаки, нацеленные на сетевые устройства: удаленное выполнение кода через уязвимости в оборудовании Dasan GPON, использование жестко заданных паролей (hardcoded passwords) в веб-камерах Zivif PR115-204-P-RS и удаленная инъекция команд через уязвимость formLogin в маршрутизаторах GPON. Эти векторы позволяют злоумышленникам получать контроль над сетевым периметром, что особенно опасно для интернета вещей (IoT) и телекоммуникационных компаний.

Южная Корея столкнулась с активностью ботнета Sora, а также с эксплойтами, использующими уязвимости в веб-камерах Zivif и удаленное выполнение кода в PHPUnit через eval-stdin. Высокая концентрация атак на IoT и веб-приложения указывает на необходимость усиления контроля за сетевыми устройствами и серверами.

Эксперты Starlight Intelligence рекомендуют немедленно заблокировать все исходные IP-адреса, связанные с указанными угрозами, на периметре сетей - через межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), а также веб-прикладные экраны (WAF). Это позволит снизить риски проникновения злоумышленников в критически важные сегменты инфраструктуры.

Предоставленные данные соответствуют требованиям международного стандарта ISO 27001:2022, раздел A.5.7 - Управление угрозами и разведкой угроз. Интеграция подобной информации в процессы кибербезопасности помогает организациям проактивно противодействовать актуальным угрозам, минимизировать ущерб и соблюдать регуляторные нормы. Аналитики подчеркивают, что современные кибератаки носят глобальный характер, и обмен индикаторами компрометации становится важнейшим элементом коллективной защиты.

IPv4

• 102.129.152.199
• 104.196.52.179
• 107.167.160.16
• 107.167.163.178
• 136.144.33.64
• 136.144.33.66
• 138.199.28.251
• 140.228.21.191
• 154.61.71.50
• 176.238.224.71
• 176.88.126.219
• 178.244.44.146
• 18.119.9.54
• 18.217.255.5
• 18.224.19.240
• 185.171.76.209
• 185.244.192.175
• 185.93.40.66
• 194.154.78.108
• 194.154.78.140
• 194.154.78.146
• 194.154.78.207
• 194.154.78.212
• 194.154.78.215
• 195.239.51.34
• 195.68.142.27
• 195.68.142.8
• 195.74.76.223
• 198.44.129.137
• 199.203.206.147
• 20.99.160.173
• 213.33.190.106
• 213.33.190.139
• 213.33.190.152
• 213.33.190.191
• 217.131.107.38
• 24.99.144.70
• 34.133.16.226
• 34.139.81.65
• 34.171.15.117
• 34.27.187.90
• 34.45.247.65
• 34.61.57.114
• 35.186.22.151
• 35.186.88.97
• 35.190.164.155
• 35.203.161.183
• 35.223.219.31
• 35.238.198.203
• 40.80.158.10
• 64.124.77.153
• 77.37.103.74
• 79.104.209.144
• 79.104.209.186
• 79.104.209.215
• 79.104.209.84
• 79.104.209.92
• 87.166.58.36
• 93.216.69.15