Сфера угроз для интернета вещей (IoT) продолжает эволюционировать, демонстрируя новые, более изощрённые бизнес-модели киберпреступников. Если ранее скомпрометированные устройства, такие как видеорегистраторы и IP-камеры, массово вовлекались в ботнеты для проведения атак на отказ в обслуживании (DDoS), то теперь злоумышленники всё чаще используют их для создания скрытых прокси-сетей. Эти сети, известные как «резидентские прокси», перепродаются для обхода географических блокировок, накрутки трафика, мошенничества с рекламой или сокрытия истинного источника других атак. Яркий пример такой тенденции - продолжающаяся эксплуатация уязвимости CVE-2024-3765 в цифровых видеорегистраторах (DVR) на базе программного обеспечения китайской компании Hangzhou Xiongmai Technology.
Описание
Эти устройства, продающиеся под множеством различных брендов по всему миру, уже много лет являются излюбленной мишенью для вредоносного ПО вроде Mirai. Однако, как показывает свежее исследование, характер злоупотреблений сместился. Вместо загрузки классического DDoS-бота атакующие теперь устанавливают на устройства специализированное прокси-ПО, так называемое proxyware. В данном случае были обнаружены два семейства: Pawns-cli и PacketSDK. Последнее, судя по всему, является ключевым элементом инфраструктуры.
Механика заражения отработана до автоматизма. Через уязвимость CVE-2024-3765, которая позволяет без авторизации получить учетные данные администратора, злоумышленник получает контроль над DVR. Затем с помощью встроенных команд развертывается цепочка скриптов и загрузчиков. Исследователи Национального института информационных и коммуникационных технологий Японии (NICT) в своём отчёте детально описали этот процесс. Сначала на устройство попадает простой загрузчик, который тянет за собой более функциональный, обозначенный как "pppoe-cn". Тот, в свою очередь, загружает основной скрипт "nw_updaten.sh" объёмом более 300 строк.
Этот скрипт выполняет комплексную подготовку окружения: устанавливает утилиты BusyBox, меняет пароль root, подчищает логи, изменяет DNS-серверы на публичные (8.8.8.8, 1.1.1.1), останавливает потенциально конфликтующие процессы и, наконец, загружает и запускает финальную полезную нагрузку - исполняемые файлы proxyware. Для обеспечения устойчивости атаки злоумышленники также модифицировали системный файл "3gdigal", отвечающий за настройки мобильного и PPPoE-подключения, и оставили скрипт "pppn.sh", предназначенный для восстановления окружения после перезагрузки устройства. Интересно, что в аргументах командной строки для запуска прокси-ПО остались идентификаторы, предположительно связанные с аффилиат-программой ("appkey=4ty2odg9mfkml4qw") и учётной записью злоумышленника (email-адрес).
Особенно показательным является факт живучести такой криминальной инфраструктуры. В январе 2026 года группа Google Threat Intelligence Group (GTIG) объявила о ликвидации крупной сети резидентских прокси. Однако это не остановило операцию. Аналитики NICT зафиксировали, что после тейкдауна хэши загружаемых файлов proxyware изменились, а домен для распространения PacketSDK сменился с "packetsdk[.]com" на "pkdsdk[.]com". Даже когда и второй домен стал недоступен, бинарные файлы на серверах злоумышленников продолжали обновляться. Это свидетельствует о гибкой и устойчивой бэкенд-инфраструктуре, способной быстро адаптироваться к действиям правоохранителей.
Проблема усугубляется тем, что уязвимые устройства Xiongmai по-прежнему широко распространены на рынке, причём часто под другими торговыми марками и с изменённым веб-интерфейсом, что затрудняет их идентификацию. Исследователи купили такой DVR у крупного японского онлайн-ритейлера в октябре 2024 года и подтвердили наличие старого, уязвимого программного обеспечения. Производитель, с которым удалось связаться, предоставил обновлённую прошивку с исправлением CVE-2024-3765, но рядовой пользователь вряд ли будет активно искать такие патчи.
Данный кейс ясно указывает на две важные тенденции. Во-первых, киберпреступный бизнес диверсифицируется, находя в скомпрометированных IoT-устройствах ресурс для создания новых сервисов, приносящих постоянный пассивный доход. Во-вторых, атаки становятся сложнее: теперь это не просто одноразовая инъекция бота, а многоэтапная операция по подготовке окружения, установке специализированного ПО и попыткам обеспечить его постоянную работу. Для специалистов по безопасности это означает, что угроза со стороны старых, необновляемых IoT-устройств не только не исчезает, но и трансформируется в более скрытные и долгосрочные формы. Рекомендации остаются классическими, но критически важными: необходимо идентифицировать устройства Xiongmai в сети, обратиться к поставщику за актуальной прошивкой, выполнить обновление, сбросить настройки к заводским, установить уникальный сложный пароль и, самое главное, убрать веб-интерфейс устройства из публичного доступа в интернет, ограничив его только внутренней сетью или используя VPN для удалённого управления.
Индикаторы компрометации
IPv4
- 154.26.133.93
- 31.97.218.25
- 58.186.204.40
Domains
- hu6xh24bkhs9l6dm.com
- lgcw2qtkhatxcx5x.com
- lhvaax5tln2p6rgp.com
- packetsdk.io
- packetsdk.net
- packetsdk.xyz
- prukr.site
- storemidnet.com
SHA256
- 0e5a407954cfce02995bf3d6fc658b0ce480300ee84f051438a1aaef4a85368e
- 2d37a69159182ebf4968c72514a39b37800e18538e766697a8c74c5c6370e6f7
- 3288b7dc11ce76c6d52a91f2c7886ffdb157af5df87363d5be4cc990d61e879b
- 53b81a57cc81f6a4be9e01e681fac08e2d910814eada4a872824d0c671f96a32
