35 000 ботов ежедневно: как ngioweb стал главным киберпреступным конвейером

leer en español

35 000 ботов ежедневно: как ngioweb стал главным киберпреступным конвейером

Всё больше незащищённых устройств открывают новые двери для атакующих.

image

Команда Black Lotus Labs при Lumen Technologies раскрыла новую схему работы ботнета ngioweb, который является основой одного из крупнейших криминальных прокси-сервисов NSOCKS. Этот сервис ежедневно использует около 35 000 ботов в 180 странах, 60% которых расположены в США.

Расследование показало, что около 80% ботов NSOCKS связаны с ботнетом ngioweb, атакующим устройства IoT и маршрутизаторы SOHO. Через эту инфраструктуру злоумышленники обфусцируют вредоносный трафик, занимаются фишингом и организуют DDoS-атаки.

Lumen Technologies удалось идентифицировать более 180 серверов командного управления (C2), которые используются для сокрытия личности пользователей. Эти серверы не только обеспечивают работу NSOCKS, но и позволяют различным преступным группировкам, таким как Shopsocks5, использовать инфраструктуру ботнета.

Анализ ngioweb показал, что он использует множество эксплойтов для уязвимых устройств, но не задействует так называемые «нулевые дни». Вместо этого операторы ботнета активно эксплуатируют устаревшие версии прошивок и ПО.

Одной из главных угроз является то, что заражённые устройства часто используются несколькими преступными группами одновременно. Lumen Technologies заблокировала весь трафик, связанный с ботнетом ngioweb, на своей сети и опубликовала индикаторы компрометации (IoC), чтобы помочь другим компаниям в борьбе с этим ботнетом.

NSOCKS, помимо стандартных прокси-функций, позволяет злоумышленникам настраивать фильтры по доменам, включая «.gov» и «.edu», что открывает возможности для целевых атак на госструктуры и образовательные организации. Архитектура ботнета поддерживает долгосрочную активность ботов — до 40% устройств остаются заражёнными более месяца.

Для противодействия угрозе специалисты рекомендуют регулярно обновлять прошивки маршрутизаторов, избегать стандартных паролей и защищать интерфейсы управления. Организациям следует активно блокировать подозрительные IP-адреса и внедрять дополнительные меры защиты для предотвращения атак.

Исследование подтвердило, что прокси-ботнеты становятся всё более популярными среди киберпреступников, что требует активного взаимодействия и совместных действий со стороны индустрии кибербезопасности.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий