Эксперты компании Aqua
За этими атаками стоит ботнет из устройств интернета вещей (IoT), которые взламывают через различные уязвимости и неправильные настройки.
По мнению специалистов, за этой активностью вообще может стоять одиночка, и есть основания полагать, что это русскоязычный скрипт-кидди.
Атаки Matrix в основном нацелены на IP-адреса, расположенные в Китае и Японии, а также в Аргентине, Австралии, Бразилии, Египте, Индии и США. Судя по всему, злоумышленники руководствуются исключительно финансовыми мотивами.
Цепочки атак построены на эксплуатации известных уязвимостей, а также брутфорсе дефолтных или ненадежных учетных данных для получения доступа различным IoT-устройствам (включая IP-камеры, DVR, маршрутизаторы и телекоммуникационное оборудование).
Кроме того, сообщается, что злоумышленники атаковали неправильно сконфигурированные серверы Telnet, SSH и Hadoop, причем особое внимание уделялось диапазонам IP-адресов, связанных с поставщиками облачных услуг, такими как Amazon Web Services (AWS), Microsoft Azure и Google Cloud.
При этом вредоносная активность во многом опирается на свободно доступные скрипты и инструменты, размещенные на GitHub.
В конечном итоге атаки приводят к развертыванию на взломанных устройствах и серверах малвари Mirai и других вредоносов для DDoS-атак. Среди них:
Исследователи пришли к выводу, что собственный аккаунт Matrix на GitHub, созданный в ноябре 2023 года, так же содержит ряд артефактов, связанных с DDoS-атаками.
Считается, что этот ботнет рекламируется как сервис для DDoS-атак по найму и работает через Telegram-бота, который позволяет клиентам выбирать различные уровни «подписки» для проведения атак (в обмен на оплату криптовалютой).
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, группировка или человек под ником Matrix связан с масштабными DDoS-атаками. За этими атаками стоит ботнет из устройств интернета вещей (IoT), которые взламывают через различные уязвимости и неправильные настройки.
«Это комплексное и универсальное решение для поиска и эксплуатации уязвимостей, развертывания вредоносных программ и создания готовых наборов. Такой подход к кибератакам можно охарактеризовать как "сделай все сам"», — рассказывают исследователи.
По мнению специалистов, за этой активностью вообще может стоять одиночка, и есть основания полагать, что это русскоязычный скрипт-кидди.
Атаки Matrix в основном нацелены на IP-адреса, расположенные в Китае и Японии, а также в Аргентине, Австралии, Бразилии, Египте, Индии и США. Судя по всему, злоумышленники руководствуются исключительно финансовыми мотивами.
Цепочки атак построены на эксплуатации известных уязвимостей, а также брутфорсе дефолтных или ненадежных учетных данных для получения доступа различным IoT-устройствам (включая IP-камеры, DVR, маршрутизаторы и телекоммуникационное оборудование).
Кроме того, сообщается, что злоумышленники атаковали неправильно сконфигурированные серверы Telnet, SSH и Hadoop, причем особое внимание уделялось диапазонам IP-адресов, связанных с поставщиками облачных услуг, такими как Amazon Web Services (AWS), Microsoft Azure и Google Cloud.
«Интересно, что злоумышленник использовал специальные списки поставщиков облачных услуг, уделяя большое внимание их IP-диапазонам. Кроме того, атакам подвергались небольшие частные облака и компании. Например, среди целей был IP-адрес компании Intuit, а также IoT-устройства и многочисленные организации в Азиатско-Тихоокеанском регионе, в частности в Китае и Японии», — гласит отчет Aqua.
При этом вредоносная активность во многом опирается на свободно доступные скрипты и инструменты, размещенные на GitHub.
В конечном итоге атаки приводят к развертыванию на взломанных устройствах и серверах малвари Mirai и других вредоносов для DDoS-атак. Среди них:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, JavaScript-решение, реализующее HTTP/HTTPS-флуд, а также инструмент для отключения защиты Microsoft Defender на машинах под управлением Windows.Исследователи пришли к выводу, что собственный аккаунт Matrix на GitHub, созданный в ноябре 2023 года, так же содержит ряд артефактов, связанных с DDoS-атаками.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Считается, что этот ботнет рекламируется как сервис для DDoS-атак по найму и работает через Telegram-бота, который позволяет клиентам выбирать различные уровни «подписки» для проведения атак (в обмен на оплату криптовалютой).
Для просмотра ссылки необходимо нажать
Вход или Регистрация
«Эта кампания не отличается высокой сложностью, но демонстрирует, что даже свободно доступные инструменты и базовые технические знания позволяют осуществить масштабную и многогранную атаку на многочисленные уязвимости и плохо настроенные устройства, подключенные к сети, — пишут эксперты. — Простота этих методов подчеркивает важность применения фундаментальных методов для обеспечения безопасности для защиты от массовых оппортунистических атак, подобных этой (изменение учетных данных по умолчанию, защита административных протоколов и своевременное обновление прошивки)».
Для просмотра ссылки необходимо нажать
Вход или Регистрация