Специалисты по кибербезопасности из Qualys Threat Research Unit (TRU) зафиксировали резкий рост автоматизированных атак со стороны ботнетов Mirai, Gafgyt и Mozi. Эти кампании нацелены на массовое заражение уязвимых систем для расширения своих сетей и проведения вредоносных операций — от крупномасштабных DDoS-атак до изощренной кражи личных данных. Информация об этом была передана изданию The Hacker News.
Основными целями злоумышленников стали две крупные категории: PHP-серверы и устройства Интернета вещей (IoT). PHP-серверы привлекают атакующих из-за широкого распространения систем управления контентом (CMS), таких как WordPress и Craft CMS. Наиболее частыми точками входа являются неверные конфигурации развертывания PHP, использование устаревших плагинов и тем, а также небезопасное хранение файлов.
Для компрометации PHP-серверов активно эксплуатируются известные уязвимости. Среди них CVE-2017-9841 — уязвимость удаленного выполнения кода (RCE) в инструменте для тестирования PHPUnit. Также используются CVE-2021-3129, аналогичная уязвимость в фреймворке Laravel, и CVE-2022-47945 в ThinkPHP Framework. Успешная эксплуатация любой из них дает злоумышленникам полный контроль над сервером.
Атаки на IoT-устройства и облачные шлюзы преследуют цель их поглощения и включения в состав ботнета. Злоумышленники используют уязвимость RCE в Spring Cloud Gateway (CVE-2022-22947) и уязвимость внедрения команд в видеорегистраторах TBK DVR-4104 и DVR-4216 (CVE-2024-3721). Кроме того, была выявлена критическая ошибка конфигурации в DVR-устройствах MVPower TV-7104HE, позволяющая неавторизованным пользователям выполнять произвольные системные команды через простой HTTP GET-запрос.
Атакующие используют специфические тактики для проникновения. Один из методов — злоупотребление инструментами отладки. Отправляя HTTP GET-запрос со строкой
Для маскировки своих действий злоумышленники активно используют инфраструктуру крупных облачных платформ. Сканирующая активность часто исходит с IP-адресов, принадлежащих Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean и Akamai Cloud. Это скрывает истинное местоположение атакующих и усложняет их блокировку. При этом для проведения атак не требуется высокая квалификация: широко доступные наборы эксплойтов и фреймворки для создания ботнетов позволяют даже «начинающим злоумышленникам» наносить значительный ущерб.
Ботнеты эволюционируют, превращаясь из инструментов для DDoS-атак и криптомайнинга в платформы для атак, нацеленных на кражу цифровой личности. Джеймс Мод, технический директор компании BeyondTrust, отмечает, что ботнеты приобретают «новую роль в экосистеме угроз». Они становятся идеальным инструментом для атак методом перебора паролей (password spraying) и подстановки учетных данных (credential stuffing) в промышленных масштабах.
Использование обширной сети зараженных устройств, разбросанных по всему миру, позволяет злоумышленникам обходить геолокационные средства контроля. После кражи учетных данных или перехвата сессии они могут провести атаку с узла ботнета, который находится географически близко к жертве и даже использует того же интернет-провайдера. Это делает несанкционированный вход в систему практически неотличимым от легитимного.
Ярким примером нового поколения вредоносного ПО является ботнет AISURU, также известный как TurboMirai, выявленный компанией NETSCOUT. Он состоит преимущественно из потребительских широкополосных маршрутизаторов, онлайн-систем видеонаблюдения и другого оборудования, установленного у конечных пользователей. Его мощность позволяет осуществлять DDoS-атаки, превышающие 20 терабит в секунду (Тбит/с).
Функционал AISURU не ограничивается DDoS-атаками. Он используется для подстановки учетных данных, сбора данных с помощью веб-скрейпинга на базе искусственного интеллекта, рассылки спама и фишинга. Ключевой особенностью ботнета является встроенный сервис резидентных прокси. За плату клиенты могут маршрутизировать свой трафик через узлы ботнета, обеспечивая себе анонимность и возможность отражать DDoS-атаки на уровне приложений HTTPS.
По данным журналиста Брайана Кребса, который ссылается на статистику компании , все крупные прокси-сервисы продемонстрировали «экспоненциальный» рост за последние шесть месяцев, что косвенно подтверждает растущую популярность подобных ботнет-архитектур.
Для защиты от этих угроз рекомендуется своевременно устанавливать обновления программного обеспечения и применять патчи безопасности. Необходимо удалять все инструменты разработки и отладки, такие как Xdebug, из производственных сред. Для хранения конфиденциальной информации следует использовать специализированные менеджеры секретов, например AWS Secrets Manager или HashiCorp Vault. Также крайне важно ограничивать публичный доступ к облачной инфраструктуре везде, где это возможно.
Изображение носит иллюстративный характер
Основными целями злоумышленников стали две крупные категории: PHP-серверы и устройства Интернета вещей (IoT). PHP-серверы привлекают атакующих из-за широкого распространения систем управления контентом (CMS), таких как WordPress и Craft CMS. Наиболее частыми точками входа являются неверные конфигурации развертывания PHP, использование устаревших плагинов и тем, а также небезопасное хранение файлов.
Для компрометации PHP-серверов активно эксплуатируются известные уязвимости. Среди них CVE-2017-9841 — уязвимость удаленного выполнения кода (RCE) в инструменте для тестирования PHPUnit. Также используются CVE-2021-3129, аналогичная уязвимость в фреймворке Laravel, и CVE-2022-47945 в ThinkPHP Framework. Успешная эксплуатация любой из них дает злоумышленникам полный контроль над сервером.
Атаки на IoT-устройства и облачные шлюзы преследуют цель их поглощения и включения в состав ботнета. Злоумышленники используют уязвимость RCE в Spring Cloud Gateway (CVE-2022-22947) и уязвимость внедрения команд в видеорегистраторах TBK DVR-4104 и DVR-4216 (CVE-2024-3721). Кроме того, была выявлена критическая ошибка конфигурации в DVR-устройствах MVPower TV-7104HE, позволяющая неавторизованным пользователям выполнять произвольные системные команды через простой HTTP GET-запрос.
Атакующие используют специфические тактики для проникновения. Один из методов — злоупотребление инструментами отладки. Отправляя HTTP GET-запрос со строкой
/?XDEBUG_SESSION_START=phpstorm, они пытаются инициировать сеанс отладки с IDE, такой как PhpStorm. Если инструмент Xdebug остался активным в производственной среде, это может привести к утечке конфиденциальных данных. Параллельно ведется поиск открытых учетных данных, ключей API и токенов доступа на скомпрометированных серверах. Для маскировки своих действий злоумышленники активно используют инфраструктуру крупных облачных платформ. Сканирующая активность часто исходит с IP-адресов, принадлежащих Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean и Akamai Cloud. Это скрывает истинное местоположение атакующих и усложняет их блокировку. При этом для проведения атак не требуется высокая квалификация: широко доступные наборы эксплойтов и фреймворки для создания ботнетов позволяют даже «начинающим злоумышленникам» наносить значительный ущерб.
Ботнеты эволюционируют, превращаясь из инструментов для DDoS-атак и криптомайнинга в платформы для атак, нацеленных на кражу цифровой личности. Джеймс Мод, технический директор компании BeyondTrust, отмечает, что ботнеты приобретают «новую роль в экосистеме угроз». Они становятся идеальным инструментом для атак методом перебора паролей (password spraying) и подстановки учетных данных (credential stuffing) в промышленных масштабах.
Использование обширной сети зараженных устройств, разбросанных по всему миру, позволяет злоумышленникам обходить геолокационные средства контроля. После кражи учетных данных или перехвата сессии они могут провести атаку с узла ботнета, который находится географически близко к жертве и даже использует того же интернет-провайдера. Это делает несанкционированный вход в систему практически неотличимым от легитимного.
Ярким примером нового поколения вредоносного ПО является ботнет AISURU, также известный как TurboMirai, выявленный компанией NETSCOUT. Он состоит преимущественно из потребительских широкополосных маршрутизаторов, онлайн-систем видеонаблюдения и другого оборудования, установленного у конечных пользователей. Его мощность позволяет осуществлять DDoS-атаки, превышающие 20 терабит в секунду (Тбит/с).
Функционал AISURU не ограничивается DDoS-атаками. Он используется для подстановки учетных данных, сбора данных с помощью веб-скрейпинга на базе искусственного интеллекта, рассылки спама и фишинга. Ключевой особенностью ботнета является встроенный сервис резидентных прокси. За плату клиенты могут маршрутизировать свой трафик через узлы ботнета, обеспечивая себе анонимность и возможность отражать DDoS-атаки на уровне приложений HTTPS.
По данным журналиста Брайана Кребса, который ссылается на статистику компании , все крупные прокси-сервисы продемонстрировали «экспоненциальный» рост за последние шесть месяцев, что косвенно подтверждает растущую популярность подобных ботнет-архитектур.
Для защиты от этих угроз рекомендуется своевременно устанавливать обновления программного обеспечения и применять патчи безопасности. Необходимо удалять все инструменты разработки и отладки, такие как Xdebug, из производственных сред. Для хранения конфиденциальной информации следует использовать специализированные менеджеры секретов, например AWS Secrets Manager или HashiCorp Vault. Также крайне важно ограничивать публичный доступ к облачной инфраструктуре везде, где это возможно.
