Поделиться
Хакерская группировка превратила 5300 устройств Cisco в ботнет для слежки за другими хакерами
Масштабный ботнет, состоящий сетевых устройств, превращен в комплекс «приманок» для наблюдения за чужими атаками и перехвата вредоносов и эксплойтов.
Краденая дубинка
Исследователи компании Sekoia сообщили об обнаружении массивного ботнета, состоящего из 5300 уникальных устройств, который выполняет примерно те же функции, что и т.н. «приманки» (honeypot). В Sekoia полагают, что операторы ботнета пытаются таким образом шпионить за «коллегами по цеху».
Honeypot в сфере кибербезопасности обычно представляет собой систему, доступную из всемирной Сети и имитирующую заведомо уязвимое устройство (или являющуюся им на самом деле), а также снабженную средствами мониторинга. С помощью таких приманок эксперты могут изучать кибератаки и перехватывать вредоносное ПО.
По-видимому, с теми же целями актор, получивший название ViciousTrap, использует свой ботнет. Сеть состоит из взломанных роутеров, SSL/VPN-устройств, цифровых видеорегистраторов, BMC-контроллеров и другого общедоступного и уязвимого оборудования.
Злоумышленники активно эксплуатируют старую уязвимость CVE-2023-20118 в роутерах Cisco для малого бизнеса - RV016, RV042, RV042G, RV082, RV320 и RV325, хотя в ботнет входят также устройства Araknis Networks, ASUS, D-Link, Linksys, QNAP и более сорока других брендов.
Как указывает издание The Hacker News, ранее эксперты Sekoia приписывали эксплуатацию той же уязвимости другому ботнету - PolarEdge. Впрочем, нет особых причин предполагать, что эти ботнеты связаны между собой непосредственно.
Использование широкого диапазона сетевого оборудования позволяет операторам ViciousTrap отслеживать кибератаки на самые различные среды, а также получать доступ к непубличным или неизвестным ранее эксплойтам и повторно использовать доступ, открытый другими хакерами.
«Довольно интересный и, возможно, очень продуктивный, но не вызывающий оптимизма подход: указанные устройства постоянно встречаются в сводках кибератак, соответственно, использовать их для изучения деятельности других киберзлоумышленников - вполне удачная идея», - считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Вдобавок, с помощью перехваченных вредоносов будет проще производить атаки «под чужим флагом»».
Переиначенный скрипт
Типичная схема атаки включает эксплуатацию указанной уязвимости с последующей загрузкой и выполнением bash-скрипта через ftpget. Скрипт затем обращается к внешнему серверу и загружает программу Wget, опенсорсный многопротокольный загрузчик. На следующем этапе уязвимость в устройствах Cisco используется повторно - для запуска второго скрипта, скачанного до этого с помощью Wget.
Второй скрипт сами злоумышленники именуют NetGhost: его задача - перенаправлять сетевой трафик от скомпрометированных систем на стороннюю инфраструктуру под контролем операторов ботнета. Скрипт также способен самоудаляться, чтобы снизить вероятность перехвата.
По данным специалистов Sekoia, все попытки эксплуатации уязвимых устройств осуществлялись с одного и того же IP-адреса - 101.99.91.151. Самая ранняя известная дата - март 2025 год. В апреле операторы ViciousTrap начали использовать переработанный вариант веб-шелла, которым прежде пользовались операторы PolarEdge.
В мае операторы ViciousTrap начали атаковать роутеры ASUS с нового IP-адреса 101.99.91.239, хотя и без установки средств слежения или перенаправления трафика на эти устройства.
Оба известных адреса относятся к физическим точкам в Малайзии, связанным с провайдером Shinjiru.
Что касается самого APT-актора ViciousTrap, он, как полагают эксперты Sekoia, имеет китайское происхождение. Его цифровая инфраструктура в очень небольшой степени пересекается с инфраструктурой другого китайского актора - GobRAT.
Короткая ссылка
