Haker po imenu Matrix povezan je sa široko rasprostranjenom kampanjom distributed denial-of-service (DoD) koja koristi ranjivosti i pogrešne konfiguracije u Internet of Things (IoT) kako bi ih co-opt u ometajući botnet.
“Ova operacija služi kao sveobuhvatno mjesto na jednom mjestu za skeniranje, iskorištavanje ranjivosti, postavljanje maliciozni softvera i postavljanje kompleta za trgovinu, pokazujući pristup cyber napadima “uradi sve sam”,” Assaf Morag, direktor obavještajnih podataka o prijetnjama u sigurnosti u cloud-u firma Aqua, rekao je .
Napadi su prvenstveno ciljali IP adrese koje se nalaze u Kini, Japanu i u manjoj mjeri u Argentini, Australiji, Brazilu, Egiptu, Indiji i SAD-u
Izostanak Ukrajine u profilu žrtve označava na to da su napadači isključivo vođeni finansijskim motivima, saopštila je kompanija za sigurnost u cloud-u.
Lance napada karakteriše iskorištavanje poznatih sigurnosnih propusta, kao i zadanih ili slabih krendicijala za dobijanje pristupa širokom spektru uređaja povezanih na internet kao što su IP kamere, DVR-ovi, ruteri i telekom oprema.
Haker je takođe primjećen kako koristi pogrešno konfigurisane Telnet, SSH i Hadoop servere, sa posebnim fokusom na ciljanje opsega IP adresa povezanih sa dobavljačima usluga u cloud-u (CSP) kao što su Amazon Web Services (AWS), Microsoft Azure i Google Cloud.
Maliciozna aktivnost se dalje oslanja na široku lepezu javno dostupnih skripti i alata dostupnih na GitHubu, na kraju postavljajući maliciozni softver Mirai botnet i druge DDoS programe na kompromitovane uređaje i servere.
Ovo uključuje PYbot , pynet , DiscordGo , Homo Network , JavaScript program koji implementira HTTP/HTTPS flood napad i alat koji može onemogućiti Microsoft Defender Antivirus aplikaciju na Windows mašinama.
Utvrđeno je i da Matrix koristi vlastiti GitHub nalog koji su otvorili u novembru 2023. za postavljanje nekih od DDoS artefakata korištenih u kampanji.
Takođe se vjeruje da se cijela ponuda reklamira kao usluga DDoS-za najam putem Telegram bota pod nazivom “Kraken Autobuy” koji omogućava kupcima da biraju između različitih nivoa u zamjenu za plaćanje u kriptovaluti za izvođenje napada.
“Ova kampanja, iako nije visoko sofisticirana, pokazuje kako pristupačni alati i osnovno tehničko znanje mogu omogućiti pojedincima da izvrše širok, višestruki napad na brojne ranjivosti i pogrešne konfiguracije u uređajima povezanim s mrežom”, rekao je Morag.
“Jednostavnost ovih metoda naglašava važnost rješavanja osnovnih sigurnosnih praksi, kao što su promjena zadanih krendicijala, osiguranje administrativnih protokola i primjena pravovremenih ažuriranja firmvera, kako bi se zaštitili od širokih, prilagodljivih napada poput ovog.”
Otkrivanje dolazi kada NSFOCUS baca svjetlo na familiju botnet-a koja se izbjegava, nazvanu XorBot , koja je prvenstveno ciljana na Intelbras kamere i rutere iz NETGEAR-a, TP-Link-a i D-Link-a od novembra 2023. godine.
“Kako se povećava broj uređaja koje kontrolira ovaj botnet, operateri koji stoje iza njega takođe su počeli aktivno da se bave profitabilnim operacijama, otvoreno reklamirajući usluge iznajmljivanja DDoS napada”, rekla je kompanija za cyber sigurnost , dodajući da se botnet oglašava pod imenom Masjesu.
“U isto vrijeme, usvajanjem naprednih tehničkih sredstava kao što je ubacivanje suvišnog koda i zamagljivanje uzoraka potpisa, poboljšali su odbrambene sposobnosti na nivou datoteke, čineći njihovo ponašanje u napadu težim za praćenje i identifikaciju.”
Izvor:The Hacker News