Maliciozni softver poznat kao Ngioweb korišten je za ohrabrenje maliciozne stambene proxy usluge pod nazivom NSOCKS, kao i za druge usluge kao što su VN5Socks i Shopsocks5, otkrivaju nova otkrića Lumen Technologies.
Ngioweb, koji je Check Point prvi put dokumentovan još u augustu 2018. u vezi s Ramnit trojanskom kampanjom koja je distribuirala maliciozni softver, posljednjih sedmica je bio predmet detaljnih analiza LevelBlue i Trend Micro , od kojih potonji prati financijski motivisanu prijetnju hakera koji stoji iza operacije kao Water Barghest.
Sposoban da cilja uređaje koji koriste i Microsoft Windows i Linux, maliciozni softver je dobio ime od domene za naredbu i kontrolu (C2) koja je registrovana 2018. pod imenom “ngioweb[.]su”.
Prema Trend Micro-u, botnet se sastoji od preko 20.000 IoT uređaja od oktobra 2024. godine, a Water Barghest ga koristi za pronalaženje i infiltriranje ranjivih IoT uređaja koristeći automatizirane skripte i implementaciju Ngioweb malvera, registrirajući ih kao proxy. Zaraženi botovi se zatim stavljaju na prodaju na stambenom proxy tržištu.
“Proces monetizacije, od početne infekcije do dostupnosti uređaja kao proxyja na stambenom proxy tržištu, može trajati samo 10 minuta, što ukazuje na visoko efikasnu i automatiziranu operaciju”, rekli su istraživači Feike Hacquebord i Fernando Mercês.
Lanci napada koji koriste maliciozni softver koriste arsenal ranjivosti i nula dana koje koristi za probijanje rutera i kućnih IoT uređaja kao što su kamere, usisivači i kontrole pristupa, između ostalog. Botnet koristi dvoslojnu arhitekturu: prva je mreža za učitavanje koja se sastoji od 15-20 čvorova, koja usmjerava bota na čvor loader-C2 radi preuzimanja i izvršavanja Ngioweb malvera.
Analiza proksija stambenih proxy provajdera prema tipu uređaja pokazuje da su botnet operateri ciljali širok spektar dobavljača, uključujući NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision i NUUO.
Najnovija otkrića kompanija LevelBlue i Lumen otkrivaju da se sistemi zaraženi trojancem Ngioweb prodaju kao stambeni proxy serveri za NSOCKS, koji su ranije koristili hakeri u napadima punjenja krendicijala usmjerenih na Oktu.
“NSOCKS prodaje pristup SOCKS5 proksijima širom svijeta, omogućavajući kupcima da ih odaberu prema lokaciji (država, grad ili poštanski broj), ISP-u, brzini, vrsti zaraženog uređaja i novosti”, rekao je LevelBlue. “Cijene variraju između 0,20 i 1,50 dolara za 24-satni pristup i zavise od tipa uređaja i vremena od infekcije.”
Utvrđeno je da uređaji žrtve uspostavljaju dugoročne veze sa drugom fazom C2 domena koji su kreirani algoritmom za generisanje domena (DGA). Ovi domeni, kojih ima oko 15 u bilo kom trenutku, deluju kao “čuvar vrata”, određujući da li je botove vredno dodavanja u proxy mrežu.
Ako uređaji prođu kriterijume podobnosti, DGA C2 čvorovi ih povezuju sa backconnect C2 čvorom koji ih, zauzvrat, čini dostupnim za upotrebu preko NSOCKS proxy usluge.
„Korisnici NSOCKS-a usmjeravaju svoj promet kroz preko 180 ‘backconnect’ C2 čvorova koji služe kao ulazne/izlazne tačke koje se koriste za prikrivanje, ili proxy, njihov pravi identitet,” kažu iz Lumen Technologies. “Učesnici koji stoje iza ove usluge ne samo da su omogućili svojim klijentima sredstva za proksi maliciozni promet, već je infrastruktura takođe dizajnirana da omogući različitim hakerima da kreiraju vlastite usluge.”
Da stvar bude još gora, otvoreni proksiji koje pokreće NSOCKS takođe su se pojavili kao put za različite hakere da pokrenu moćne distribuirane napade uskraćivanja usluge (DDoS) u velikim razmjerama. Telekom kompanija je saopštila da je preduzela korake da blokira sav saobraćaj ka ili iz namenske infrastrukture povezane sa Ngioweb botnetom u pokušaju da poremeti aktivnost.
Očekuje se da će komercijalno tržište rezidencijalnih proxy usluga i podzemno tržište proksija rasti u narednim godinama, dijelom podstaknuto potražnjom grupa naprednih persistentnih prijetnji (APT) i cyber kriminalnih grupa.
“Ove mreže često koriste kriminalci koji pronalaze eksploatacije ili kradu krendicijale, pružajući im besprijekornu metodu za postavljanje malicioznih alata bez otkrivanja njihove lokacije ili identiteta”, rekao je Lumen.
“Ono što je posebno alarmantno je način na koji se može koristiti usluga kao što je NSOCKS. Uz NSOCKS, korisnici imaju mogućnost da biraju između 180 različitih zemalja za svoju endpoints. Ova mogućnost ne samo da omogućava malicioznim hakerima da šire svoje aktivnosti širom svijeta, već i omogućava da ciljaju određene entitete po domenu, kao što su .gov ili .edu, što bi moglo dovesti do fokusiranijih i potencijalno štetnijih napada.”
Izvor:The Hacker News