Ботнет Ngioweb использовал тысячи устройств в качестве резидентных прокси

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.180
Репутация
11.695
Реакции
61.926
RUB
50
Исследователям удалось разобраться в инфраструктуре ботнета Ngioweb, который поставляет десятки тысяч прокси хакерскому сервису NSOCKS и впервые был обнаружен еще в 2017 году.

В результате работа ботнета была нарушена, так как ИБ-компании начали блокировать его трафик.

Как рассказывает издание , с конца 2022 года прокси-сервис NSOCKS, работающий по адресу nsocks[.]net, предоставляет своим клиентам шлюзы для вредоносной активности. С тех пор сразу несколько ИБ-компаний обратили внимание, что многие прокси NSOCKS напрямую связаны с ботнетом Ngioweb, хотя далеко не все его управляющие серверы удавалось обнаружить.

Теперь же специалисты Lumen Black Lotus Labs , что им удалось отследить активные и прошлые управляющие серверы ботнета и разобраться в инфраструктуре, частью которой они являются.

По данным исследователей, пользователи NSOCKS «направляют свой трафик более чем через 180 управляющих backconnect-узлов, которые служат точками входа/выхода». А ботнет Ngioweb обеспечивает сервис примерно 80% из 35 000 прокси, которые разбросаны по 180 странам мира.


Количество доступных в NSOCKS ботов

Ботнет имеет отдельную сеть загрузчиков, которые перенаправляют зараженные устройства на управляющие серверы для получения и выполнения малвари ngioweb. Хотя неясно, как происходит первоначальное заражение, специалисты считают, что злоумышленники используют около 15 эксплоитов для атак на самые разные n-day уязвимости.

В основном Ngioweb атакует устройства SOHO- и IoT-устройства с уязвимыми или давно устаревшими библиотеками веб-приложений. В их число которых входят продукты Zyxel, Reolink и Alpha Technologies. Также в последнее время зафиксировано добавление в ботнет множества маршрутизаторов Netgear. В итоге сейчас около 10% от общего количества ботов связаны именно с этим брендом.

На втором этапе атаки скомпрометированное устройство связывается с C&C-доменами, которые создаются с помощью DGA (Domain Generation Algorithm), после чего определяется, пригоден ли этот бот для работы в прокси-сети. В частности, эти C&C-серверы проверяют пропускную способность ботов, а также подключают их к backconnect-серверу, который делает их доступными для NSOCKS.


Схема атак Ngioweb

По словам специалистов, последние образцы малвари ngioweb претерпели мало изменений по сравнению с более старыми вариантами, еще в 2019 году. Одним из немногих отличий стал переход от жестко закодированных URL управляющих серверов к доменам, созданным при помощи DGA. Еще одним отличием является использование записей DNS TXT для предотвращения sinkhole’а и потери контроля над DGA-доменами.

Хотя Ngioweb имеет достаточно сложную архитектуру, позволяющую фильтровать устройства в зависимости от их возможностей, аналитики Black Lotus Labs пишут, что операторы ботнета не сумели должным образом защитить зараженные устройства. По их словам, NSOCKS тоже не обладает достаточной защитой, из-за чего его могут эксплуатировать многочисленные пользователи, которые даже не платят за сервис.

В Black Lotus Labs объясняют, что IP-адреса и номера портов, которые получают платные пользователи NSOCKS, не имеют механизма аутентификации, то есть могут использоваться другими злоумышленниками, если попадут в их руки.

«Согласно публично доступным отчетам, большинство из этих IP-адресов уже фигурируют в списках бесплатных прокси. Эти списки регулярно используются злоумышленниками, а содержащиеся в них прокси часто применяются для проксирования трафика различными образцами вредоносного ПО (например, Agent Tesla)», — пишут эксперты.

Также отмечается, что эти прокси неоднократно применялись для амплификации DDoS-атак ( , ) и других видов вредоносной активности: от сокрытия трафика малвари до фишинга и атак типа credential stuffing. Кроме того, устройствами, зараженными Ngioweb, пользовались и «правительственные» хакеры, что позволял им смешивать трафик, связанный со шпионажем, с рядовой киберпреступной активностью.

По словам экспертов, в настоящее время работа Ngioweb и NSOCKS нарушена, поскольку компания Lumen, вместе с отраслевыми партнерами (включая The ShadowServer Foundation), начала блокировать трафик от известных C&C-узлов к сетям Ngioweb и NSOCKS.

К своему отчету эксперты приложили список индикаторов компрометации и призывают другие компании помочь в выявлении вредоносных ботов, еще больше нарушая работу ботнета и NSOCKS.

Следует отметить, что на этой неделе вышли еще две крупные публикации, посвященные анализу активности Ngioweb. Работу ботнета и связанных с ним сервисов изучили аналитики компаний и


 
  • Теги
    ботнет
  • Сверху Снизу