Исследователи компании Sekoia выявили масштабный ботнет, получивший название ViciousTrap, состоящий из 5300 уникальных устройств. Его операторы, предположительно, используют его для слежки за деятельностью других киберпреступников, имитируя функции "приманок" (honeypot). Об этом сообщает издание The Hacker News.
Сеть ViciousTrap, состоящая из взломанных роутеров, SSL/VPN-устройств, цифровых видеорегистраторов (DVR), BMC-контроллеров и другого общедоступного и уязвимого оборудования, функционирует как распределенный honeypot. Злоумышленники активно эксплуатируют старую уязвимость CVE-2023-20118 в роутерах Cisco для малого бизнеса (модели RV016, RV042, RV042G, RV082, RV320 и RV325), хотя в ботнет также входят устройства Araknis Networks, ASUS, D-Link, Linksys, QNAP и более сорока других брендов. Цель ViciousTrap — отслеживать кибератаки на различные среды, получать доступ к неизвестным эксплойтам и повторно использовать уже открытый другими хакерами доступ.
Суть атаки заключается в интеграции в зараженные устройства скрипта NetGhost. Задача NetGhost — перенаправлять сетевой трафик от скомпрометированных систем на инфраструктуру, контролируемую операторами ботнета. Скрипт также способен самоудаляться для усложнения обнаружения.
По данным Sekoia, все попытки эксплуатации уязвимых устройств осуществлялись с одного и того же IP-адреса (101.99.91.151) начиная с марта 2023 года. В апреле операторы ViciousTrap начали применять модифицированный веб-шелл, ранее ассоциировавшийся с ботнетом PolarEdge, хотя прямой связи между ViciousTrap и PolarEdge не выявлено.
В мае активность распространилась на роутеры ASUS с нового IP-адреса (101.99.91.239), хотя на этих устройствах пока не были замечены средства слежения. Оба известных IP-адреса геолоцируются в Малайзии и связаны с провайдером Shinjiru.Сами исследователи Sekoia предполагают, что APT-группировка ViciousTrap имеет китайское происхождение, с минимальным пересечением инфраструктуры с другим китайским актором — GobRAT.
Свежие комментарии