黑客将数千个物联网设备变成住宅代理

据趋势科技报告称，威胁行为者利用恶意软件感染易受攻击的物联网 (IoT) 设备，并在几分钟内将其列为住宅代理，从而从中牟利。

该攻击者被称为 Water Barghest，迄今已入侵超过 20,000 台物联网设备，并将其出租给希望匿名活动的威胁行为者。

Water Barghest 已经活跃了至少五年，它一直不为人知，因为它严重依赖自动化、删除日志文件来掩盖踪迹，而且只接受加密货币支付。

威胁者获取物联网设备漏洞（包括零日漏洞），使用公开的在线扫描程序识别易受攻击的设备，然后尝试从一组数据中心 IP 地址利用这些漏洞。被入侵的设备很快就会在专门的市场上变现。

趋势科技表示： “在 Water Barghest 案例中，我们发现从利用物联网设备到将其放到住宅代理市场上出售的时间可能仅需 10 分钟。”

截至 2024 年 10 月，威胁行为者已经创建了一个由思科、DrayTek、Fritz!Box、Linksys、Netgear、Synology、Tenda、Western Digital 和 Zyxel 等品牌的 20,000 多台设备组成的僵尸网络，所有设备都感染了 Ngioweb 恶意软件。

Trend Micro 指出：“在撰写本文时，Water Barghest 在虚拟专用服务器 (VPS) 上部署了大约 17 个工作程序，用于持续扫描路由器和 IoT 设备中的已知漏洞。这些工作程序还用于将 Ngioweb 恶意软件上传到刚刚被攻陷的 IoT 设备。”

Ngioweb 最初于 2018 年被发现，当时针对的是 Windows 系统，2019 年开始针对 Linux 计算机，并于 2020 年将重点转向物联网设备。今年发现了 Ngioweb 的新变种。

据趋势科技称，Water Barghest 的活动是在威胁行为者于去年 10 月开始针对思科 IOS XE设备的零日漏洞进行攻击后被发现的，而攻击所使用的基础设施也是其在之前的攻击中多年来一直使用的。

该网络安全公司还指出，Water Barghest 等中型代理僵尸网络通常会保持活跃多年，因为自动化和改进可以帮助它们逃避检测。

由于 APT 和以经济为目的的团体将继续使用第三方 IoT 僵尸网络和市售的住宅代理服务进行匿名化和间谍活动，对这些僵尸网络的需求可能会增加。

原文始发于微信公众号（河南等级保护测评）：黑客将数千个物联网设备变成住宅代理