Недавнее расследование CloudSEK обнаружило сложную кампанию с участием «loader‑as‑a‑service» botnet, которая массово распространяла вредоносные семейства RondoDoX, Mirai и Morte. Атака в основном использовала уязвимые SOHO‑маршрутизаторы, устройства Internet of Things и корпоративные веб‑приложения. По данным исследования, активность злоумышленников резко возросла, что вызывает серьезную обеспокоенность в отрасли безопасности.
Ключевые выводы
- Botnet действует как «Загрузчик как услуга» и поставляет несколько видов вредоносного ПО (RondoDoX, Mirai, Morte).
- Основные цели — SOHO‑маршрутизаторы, устройства Internet of Things и публично доступные корпоративные приложения.
- Используются различные векторы эксплуатации: слабые учетные данные, не обработанные входные данные (включая параметры POST) и эксплуатация устаревших, ранее известных уязвимостей (CVE).
- Наблюдался резкий всплеск активности: в период с июля по август 2025 года рост составил 230%, что указывает на быструю эскалацию усилий по вооружению криптомайнинга, организации DDoS и проникновениям в корпоративные сети.
- Инфраструктура командования и контроля (C2) ботнета демонстрирует передовые тактики и быстрые изменения, усложняющие обнаружение и нейтрализацию.
Техники и эксплуатация уязвимостей
Атакующие применяют сочетание классических и современных техник. При внедрении команд злоумышленники часто используют не обработанные параметры POST в веб‑приложениях, вводя команды оболочки (sh) для загрузки payload прямо на устройства.
В отчете отмечается использование техник, описанных в MITRE ATT&CK framework, в частности:
- T1190 — Exploit Public‑Facing Application (использование общедоступных приложений);
- T1059 — Command and Scripting Interpreter (в данном случае sh — исполнение команд оболочки для скачивания и запуска компонентов).
Аналитики также указывают на повторное использование ранее известных CVE разными ботнетами, что свидетельствует о тенденции к последовательному эксплуатированию одинаковых уязвимостей несколькими операторами угроз.
«Аналитики рекомендуют поискать в журналах веб‑серверов и прокси‑серверов подозрительные записи, которые могут указывать на использование не обработанных параметров POST и выполнение команд оболочки».
Операционное воздействие
Операционное влияние кампании значительное и многоплановое:
- Скомпрометированные устройства потребляют значительную пропускную способность, снижая производительность и доступность сети.
- Зараженные устройства используются в DDoS‑атаках, что может серьезно нарушать бизнес‑операции клиентов и провайдеров.
- Имеется риск эксфильтрации данных и lateral movement внутри корпоративных сетей, что приводит к краже интеллектуальной собственности и повышенному риску внедрения Ransomware.
- Особые опасения вызывает влияние на supply chain: систематическая эксплуатация маршрутизаторов и использование NTP‑серверов могут нарушить критичные по времени операции и сервисы.
Рекомендации для предприятий и администраторов
В условиях быстро меняющейся инфраструктуры атак и высокого уровня агрессии кампании необходимо принять упреждающие меры. Основные практики защиты:
- Провести инвентаризацию устройств (включая SOHO‑маршрутизаторы и IoT) и приоритизировать патч‑менеджмент для известных CVE.
- Срочно устранить дефолтные и слабые учетные данные; внедрить политику комплексной аутентификации (например, MFA там, где возможно).
- Отключить удаленное управление и сервисы с публичным доступом, которые не требуются для работы.
- Внедрить WAF и/или обновить правила IDS/IPS для выявления попыток эксплуатации параметров POST и команд оболочки.
- Активно мониторить журналы веб‑серверов, прокси и сетевые логи: искать аномальные POST‑запросы, необычные outgoing соединения и попытки запуска sh‑команд.
- Сегментировать сеть, внедрить белые/черные списки сетевых соединений и ограничить исходящий трафик от устройств IoT/маршрутизаторов.
- Защитить настройки NTP и обеспечить контроль над источниками времени; по возможности применять аутентификацию и ограничение доступа к NTP‑сервисам.
- Разработать и отрепетировать план реагирования на инциденты, включая процедуры изоляции скомпрометированных устройств и взаимодействия с провайдерами и CERT.
Прогноз
Учитывая наблюдаемый всплеск активности и агрессивность кампании, аналитики ожидают дальнейшего расширения атак на уязвимые устройства в течение следующих шести месяцев. Быстро меняющаяся инфраструктура C2 и повторное использование известных CVE делают необходимым постоянное обновление защитных мер и оперативный мониторинг.
Вывод
Кампания, выявленная CloudSEK, демонстрирует высокий уровень организации и адаптивности злоумышленников: мультисемейство вредоносного ПО, широкая экспозиция в SOHO/IoT и использование как классических (weak credentials), так и прикладных (unvalidated POST, exploit CVE) векторов делают угрозу масштабной. Для минимизации рисков потребуется сочетание технических мер, активного мониторинга журналов и отработанных процедур реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Агрессивный ботнет «Загрузчик как услуга» атакует SOHO и IoT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.