Эксперты по кибербезопасности рассказали, что группа под названием ViciousTrap взломала около 5300 сетевых устройств в 84 странах, превратив их в глобальную ловушку для сбора информации.
Хакеры использовали критическую уязвимость в роутерах Cisco Small Business моделей RV016, RV042, RV042G, RV082, RV320 и RV325 (CVE-2023-20118), объединяя заражённые устройства в целую сеть ловушек. Большая часть пострадавших роутеров — 850 штук — находится в Макао.
«В процессе заражения запускается скрипт NetGhost, который перенаправляет трафик с определённых портов взломанного роутера на контролируемую злоумышленниками инфраструктуру-ловушку, что позволяет им перехватывать сетевые данные», — объяснили в компании Sekoia в отчёте, опубликованном в четверг.
Ранее уязвимость CVE-2023-20118 связывали с ботнетом PolarEdge, но сейчас стало ясно, что группа ViciousTrap использует её для создания собственной системы «honeypot».
Хотя прямых доказательств связи между этими атаками нет, подозревается, что ViciousTrap строит свою сеть, взламывая множество устройств в интернете — от домашних роутеров SOHO и SSL VPN до видеорегистраторов и BMC-контроллеров более чем 50 производителей, включая Araknis Networks, ASUS, D-Link, Linksys и QNAP.
«Такой подход даёт возможность злоумышленникам следить за попытками эксплуатации уязвимостей в самых разных средах, собирать данные о неизвестных и zero-day эксплойтах, а также использовать доступ, полученный от других хакеров», — говорится в анализе.
Суть атаки — использование CVE-2023-20118 для скачивания и запуска bash-скрипта через ftpget, после чего вредоносный код загружает бинарный файл wget с внешнего сервера. Затем уязвимость эксплуатируется повторно для запуска второго скрипта, загруженного через wget.
Второй скрипт NetGhost перенаправляет сетевой трафик заражённого устройства на сервера злоумышленников, что даёт им возможность проводить атаки типа «человек посередине» (MitM). При этом скрипт умеет удалять себя после выполнения, чтобы усложнить расследование.
Специалисты из Sekoia отметили, что все попытки взлома шли с одного IP-адреса (101.99.91[.]151), а первые активности были зарегистрированы в марте 2025 года. В апреле хакеры использовали незафиксированную ранее веб-оболочку, применявшуюся ботнетом PolarEdge, для своих целей.
«Использование скрипта NetGhost подтверждает, что злоумышленники действуют скрытно, перенаправляя трафик и собирая данные о попытках взломов и веб-доступах к заражённым серверам», — отмечают специалисты по безопасности Феликс Эмэ и Джереми Сион.
В этом месяце атаке подверглись также роутеры ASUS, но уже с другого IP (101.99.91[.]239), при этом вредоносные ловушки в этих случаях не создавались. Все указанные IP-адреса находятся в Малайзии и принадлежат хостинг-провайдеру Shinjiru (Autonomous System AS45839).
Согласно имеющейся информации, хакеры ViciousTrap, скорее всего, говорят на китайском языке — это подтверждается частичным пересечением с инфраструктурой GobRAT и тем, что трафик перенаправляется на сервера в Тайване и США.
«Точная цель ViciousTrap пока неизвестна, но с большой вероятностью это — масштабная глобальная сеть-ловушка в стиле honeypot», — заключают в Sekoia.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru