我们发现Water Barghest组织通过利用物联网设备的漏洞,迅速将超过20000个IoT设备货币化,并在住宅代理市场上出售。该组织使用自动化脚本从公共互联网扫描数据库中寻找并攻击易受攻击的IoT设备。一旦设备被攻陷,就会部署Ngioweb恶意软件,该软件在内存中运行,并连接到命令和控制服务器以注册被攻陷的设备作为代理。从初始感染到设备作为代理在住宅代理市场上可用,整个过程可能仅需10分钟,显示出高度的效率和自动化。我们追踪到Water Barghest的入侵行为与国家行为者Pawn Storm有关,后者自2022年4月以来一直在其间谍活动中使用Ubiquiti EdgeRouter设备。我们还发现,一些APT行为者和网络犯罪分子可能有意或无意地共享被攻陷的基础设施。Water Barghest组织通过高度自动化的操作,保持低调,避免了媒体关注和安全审查,他们使用加密货币进行匿名支付,消除了财务可追溯性。然而,由于对Cisco IOS XE设备的零日漏洞的攻击,该组织引起了安全行业的注意。我们通过长期研究Pawn Storm,发现了Water Barghest自动化从互联网上寻找易受攻击的路由器和IoT设备,利用这些设备,上传并执行恶意软件,然后将被攻陷的资产在在线市场上货币化。Water Barghest的自动化程度非常高,他们通过虚拟专用服务器上的约17个工作节点不断扫描路由器和IoT设备以寻找已知漏洞,并将Ngioweb恶意软件上传到新近被攻陷的IoT设备上。Ngioweb恶意软件自2018年以来已经演变,最初针对Windows系统,后来转向Linux系统,特别是安装了WordPress的Web服务器,最终在2020年转向IoT设备。到了2024年,Water Barghest的IoT僵尸网络达到了全盛时期,他们扩展了Ngioweb的目标设备列表,包括更多品牌。我们评估,特定住宅代理市场上的退出节点中有相当一部分属于被Ngioweb恶意软件感染的设备。这些代理允许使用加密货币支付,用户可以连接到这些代理,并通过Ngioweb机器人路由流量。我们预计,随着APT行为者和网络犯罪分子团体的需求增加,住宅代理服务的商业市场和地下市场将在未来几年内增长。保护企业免受这些匿名化层的威胁是一个全球性的挑战。法院批准的代理僵尸网络的中断将有助于打击恶意行动,但更重要的是解决源头问题:保护IoT设备至关重要,应避免将这些设备暴露于开放互联网的传入连接中。
原文链接:
https://www.trendmicro.com/en_us/research/24/k/water-barghest.html
原文始发于微信公众号(狼蛛安全实验室):Water Barghest组织利用IoT设备漏洞迅速变现的策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论