Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Расследование Sekoia.io раскрывает масштабную атаку ViciousTrap на SOHO-устройства

1
3 мин
Специалисты компании Sekoia.io провели масштабное расследование, раскрывающее деятельность группы хакеров ViciousTrap. По данным исследования, злоумышленникам удалось скомпрометировать более 5500 периферийных устройств, которые в дальнейшем перепрофилировались в приманки (honeypots). Такая масштабная операция затрагивает широкий спектр техники и открывает доступ к критически важным системам. Скомпрометированные устройства охватывают более 50 брендов, включая: Из этого следует, что цель ViciousTrap — сбор данных об уязвимостях в крайне разнообразных системах. Предполагается, что группа имеет китайскоязычное происхождение, о чём свидетельствует совпадение инфраструктуры с известной операцией GobRAT, а также географическое распределение поражённых устройств. Первичный доступ был получен благодаря уязвимости CVE-2023-20118, затрагивающей маршрутизаторы Cisco SOHO. Эксплуатация началась в марте 2025 года и продолжается до сих пор, при этом источником большинства атак является один IP-адрес:
Оглавление

Расследование Sekoia.io: кампания хакеров ViciousTrap и компрометация более 5500 периферийных устройств

Специалисты компании Sekoia.io провели масштабное расследование, раскрывающее деятельность группы хакеров ViciousTrap. По данным исследования, злоумышленникам удалось скомпрометировать более 5500 периферийных устройств, которые в дальнейшем перепрофилировались в приманки (honeypots). Такая масштабная операция затрагивает широкий спектр техники и открывает доступ к критически важным системам.

Объекты атаки и инфраструктура

Скомпрометированные устройства охватывают более 50 брендов, включая:

  • маршрутизаторы SOHO;
  • SSL VPN;
  • видеорегистраторы;
  • контроллеры BMC.

Из этого следует, что цель ViciousTrap — сбор данных об уязвимостях в крайне разнообразных системах. Предполагается, что группа имеет китайскоязычное происхождение, о чём свидетельствует совпадение инфраструктуры с известной операцией GobRAT, а также географическое распределение поражённых устройств.

Техника проникновения и эксплуатация уязвимостей

Первичный доступ был получен благодаря уязвимости CVE-2023-20118, затрагивающей маршрутизаторы Cisco SOHO. Эксплуатация началась в марте 2025 года и продолжается до сих пор, при этом источником большинства атак является один IP-адрес: 101.99.91.151.

Цепочка атаки включает следующие этапы:

  • использование уязвимости для загрузки bash-скрипта с именем "a" через FTP;
  • скачивание двоичного файла BusyBox wget, адаптированного под архитектуру MIPS;
  • установка точки доступа к скомпрометированному устройству;
  • повторное использование уязвимости для получения дополнительных скриптов, идентифицируемых по UUID — что обеспечивает эффективное управление командованием и контролем (C2).

Интересно, что злоумышленники тщательно проверяют устройства перед доставкой полезной нагрузки, направляя атаку только на подтверждённые цели.

Веб-консоли и дальнейшее использование скомпрометированных устройств

В ряде случаев ViciousTrap пыталась внедрять веб-оболочки, уже известные специалистам Sekoia. Особенно примечателен инцидент апреля 2025 года, когда атака была направлена на Cisco RV042 honeypot. Несмотря на ограниченную функциональность веб-консоли, возникли серьёзные опасения относительно возможного доступа злоумышленников к конфиденциальной информации об уязвимостях.

Отдельное внимание уделялось системам с истекшим сроком поддержки — они оказались особенно уязвимы. Сюда входят другие маршрутизаторы SOHO и VPN-устройства. Также зафиксированы попытки подключения к маршрутизаторам ASUS с использованием уязвимости CVE-2021-32030, чтобы получить версии встроенного ПО и установить доступ по SSH.

Анализ инфраструктуры и тактика злоумышленников

Все задействованные IP-адреса эксплойтов, по данным Sekoia, находятся в Малайзии, что указывает на использование локального хостинга, связанного с группой ViciousTrap.

В ходе исследования были проведены сканирования открытых портов на серверах перехвата, что позволило выявить широкий спектр отслеживаемых устройств. Используемые механизмы перенаправления, построенные на базе iptables, оказались сравнительно простыми, однако эффективными.

Применение специальных хэшей JARM дало возможность идентифицировать тысячи уникальных устройств, затронутых данной кампанией.

Возможные цели и прогнозы

Хотя конечные цели ViciousTrap остаются неясными, структура сети напоминает honeypot, что позволяет злоумышленникам наблюдать за попытками вторжений в различных средах. По всей видимости, это сделано с намерением получить доступ к закрытым эксплойтам или нулевым дням для дальнейшего использования в атаках.

«Постоянный мониторинг и глубокий анализ позволят полностью понять тактику, методы и скрытые мотивы группы ViciousTrap», — отмечают эксперты Sekoia.

Выводы

  • Группа ViciousTrap осуществляет масштабные атаки на периферийные устройства многочисленных брендов;
  • Используется серьёзная цепочка эксплойтов с уникальными *ID* для управления;
  • Объекты с истекшим сроком поддержки подвергаются особому риску;
  • Аналитика подтверждает связь с инфраструктурой на территории Малайзии;
  • Группа стремится к сбору информации о новых уязвимостях и возможному использованию эксплойтов нулевого дня.

Дальнейшие расследования и публикации Sekoia обещают прояснить детали активности ViciousTrap и повысить осведомлённость в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Расследование Sekoia.io раскрывает масштабную атаку ViciousTrap на SOHO-устройства".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.