Недавно выявленная кампания по массовой эксплуатации уязвимых IP-адресов интернет-провайдеров нацелена на развертывание инструментов кражи информации и криптомайнеров. Применяя метод брутфорс для подбора слабых учетных данных, злоумышленники стремятся получить доступ к системам и внедрить зловредное ПО.
Атаки нацелены на IP-адреса провайдеров в Китае и на западном побережье Соединенных Штатов, охватывая свыше 4000 адресов. Массовое сканирование CIDR-блоков позволяет выявлять открытые порты, что значительно ускоряет распространение угрозы по инфраструктуре.
Злоумышленники, действующие с минимально инвазивными операциями для избежания раннего обнаружения, используют скриптовые языки Python и PowerShell для перемещения по сети и реализации командно-контрольных операций. Управление осуществляется посредством API-вызовов к сервису Telegram.
Начальный этап проникновения организован через брутфорс-атаки, эксплуатирующие слабые учетные данные, при этом исходные IP-адреса связаны с регионами Восточной Европы. Такой подход демонстрирует международный характер атак и повышает сложность их отслеживания.
После получения доступа через брутфорс злоумышленники развертывают серию исполняемых файлов через PowerShell. Среди них – инструменты для сканирования сети, бинарные файлы для кражи информации и payload-ы, предназначенные для криптомайнинга с использованием XMRig для добычи Monero. На предварительном этапе осуществляют отключение защитных функций и завершение процессов, связанных с обнаружением криптомайнеров.
Инфостилер, включенный в арсенал атаки, способен делать скриншоты экрана и перехватывать содержимое буфера обмена. Особое внимание уделяется поиску и кражам адресов криптовалютных кошельков для Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX), а собранная информация оперативно передается через Telegram-бота.
Дополнительно злоумышленники разворачивают бинарный файл, запускающий последующие зловредные программы. Комплекс включает Auto.exe, который загружает файлы со списками паролей (pass.txt) и IP-адресов (ip.txt) с командно-контрольного сервера для дальнейших брутфорс-атак, а также Masscan.exe – инструмент для массового сканирования сетей и обнаружения открытых портов.
Исследование выполнено командой Splunk Threat Research Team, опубликовавшей технический отчет на прошлой неделе. Аналитики отмечают активное использование утилиты Masscan для сканирования сетей, что подчеркивает системность и масштаб проводимых атак.
Изображение носит иллюстративный характер
Атаки нацелены на IP-адреса провайдеров в Китае и на западном побережье Соединенных Штатов, охватывая свыше 4000 адресов. Массовое сканирование CIDR-блоков позволяет выявлять открытые порты, что значительно ускоряет распространение угрозы по инфраструктуре.
Злоумышленники, действующие с минимально инвазивными операциями для избежания раннего обнаружения, используют скриптовые языки Python и PowerShell для перемещения по сети и реализации командно-контрольных операций. Управление осуществляется посредством API-вызовов к сервису Telegram.
Начальный этап проникновения организован через брутфорс-атаки, эксплуатирующие слабые учетные данные, при этом исходные IP-адреса связаны с регионами Восточной Европы. Такой подход демонстрирует международный характер атак и повышает сложность их отслеживания.
После получения доступа через брутфорс злоумышленники развертывают серию исполняемых файлов через PowerShell. Среди них – инструменты для сканирования сети, бинарные файлы для кражи информации и payload-ы, предназначенные для криптомайнинга с использованием XMRig для добычи Monero. На предварительном этапе осуществляют отключение защитных функций и завершение процессов, связанных с обнаружением криптомайнеров.
Инфостилер, включенный в арсенал атаки, способен делать скриншоты экрана и перехватывать содержимое буфера обмена. Особое внимание уделяется поиску и кражам адресов криптовалютных кошельков для Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX), а собранная информация оперативно передается через Telegram-бота.
Дополнительно злоумышленники разворачивают бинарный файл, запускающий последующие зловредные программы. Комплекс включает Auto.exe, который загружает файлы со списками паролей (pass.txt) и IP-адресов (ip.txt) с командно-контрольного сервера для дальнейших брутфорс-атак, а также Masscan.exe – инструмент для массового сканирования сетей и обнаружения открытых портов.
Исследование выполнено командой Splunk Threat Research Team, опубликовавшей технический отчет на прошлой неделе. Аналитики отмечают активное использование утилиты Masscan для сканирования сетей, что подчеркивает системность и масштаб проводимых атак.
