Специалисты компании Forescout обнаружили масштабную кибератаку на корпоративные сети через уязвимости в маршрутизаторах DrayTek. По данным исследования, злоумышленники успешно скомпрометировали не менее 300 организаций, используя ранее неизвестные уязвимости нулевого дня для распространения вымогательского программного обеспечения.
Хронология и масштаб атаки
В период с августа по сентябрь 2023 года хакерская группировка Monstrous Mantis провела серию атак на более чем 20 000 устройств DrayTek. Злоумышленники использовали неизвестную zero-day уязвимость для получения первоначального доступа к системам. Примечательно, что группировка действовала как посредник, предоставляя доступ к скомпрометированным сетям другим киберпреступным группам.
Механизм распространения атаки
Исследователи выявили сложную схему взаимодействия между хакерскими группировками. Monstrous Mantis передавала похищенные учетные данные своим партнерам — группам Ruthless Mantis (PTI-288) и LARVA-15 (Wazawaka). Эти группировки, в свою очередь, использовали полученную информацию для проведения собственных атак на организации в Европе и других регионах.
Географический охват и последствия
Ruthless Mantis, предположительно связанная с известной группировкой REvil, успешно атаковала 337 организаций, преимущественно в Великобритании и Нидерландах, распространяя вымогательское ПО Nokoyawa и Qilin. LARVA-15 сфокусировалась на целях в Австралии, Франции, Германии, Италии, Нидерландах, Польше, Турции, Тайване и Великобритании, действуя как брокер первоначального доступа.
Технические детали уязвимости
Эксперты Forescout и Prodaft установили, что использованная уязвимость нулевого дня связана с компонентом mainfunction.cgi в административном интерфейсе маршрутизаторов DrayTek. В ноябре 2024 года в Национальную базу данных уязвимостей (NVD) были добавлены 22 новые записи CVE, связанные с этим компонентом. Уязвимость затрагивает преимущественно устаревшие модели, включая Vigor300B, Vigor2960 и Vigor3900.
Ситуация осложняется тем, что пока остается неясным, затрагивает ли обнаруженная уязвимость последнюю версию прошивки 1.5.6, выпущенную в марте 2024 года. Специалисты рекомендуют администраторам сетей внимательно следить за обновлениями безопасности и своевременно применять патчи, выпускаемые производителем. Также критически важно регулярно проводить аудит безопасности сетевой инфраструктуры и использовать дополнительные меры защиты, такие как многофакторная аутентификация и мониторинг сетевой активности.
