Специалисты компании Lumen Black Lotus Labs провели масштабное расследование и выявили полную инфраструктуру ботнета Ngioweb, который обеспечивает работу нелегального прокси-сервиса NSOCKS. Исследование показало, что ботнет, впервые обнаруженный в 2017 году, контролирует около 28 000 скомпрометированных устройств по всему миру.
Масштабы и принцип работы вредоносной сети
Анализ показал, что NSOCKS использует более 180 управляющих backconnect-узлов для маршрутизации трафика. При этом 80% из 35 000 прокси-серверов, расположенных в 180 странах, обеспечиваются именно ботнетом Ngioweb. Исследователи установили, что вредоносная сеть использует около 15 различных эксплоитов для компрометации устройств через уязвимости «нулевого дня».
Целевые устройства и методы заражения
Основными целями Ngioweb становятся SOHO- и IoT-устройства с устаревшим программным обеспечением, включая продукцию Zyxel, Reolink и Alpha Technologies. Особое внимание привлекает недавняя тенденция массового заражения маршрутизаторов Netgear, которые теперь составляют около 10% от общего количества зараженных устройств.
Технические особенности и уязвимости
Исследование выявило, что современные версии малвари Ngioweb практически не изменились с 2019 года. Ключевые модификации включают переход на использование алгоритма генерации доменов (DGA) вместо статических URL и внедрение DNS TXT записей для защиты от перехвата управления. Однако специалисты отмечают серьёзные недостатки в защите как самого ботнета, так и сервиса NSOCKS.
Критические проблемы безопасности
Эксперты обнаружили отсутствие механизмов аутентификации для доступа к прокси-серверам NSOCKS. Это позволяет использовать их без оплаты, если злоумышленники получат доступ к IP-адресам и портам. Большинство этих прокси уже фигурируют в публичных списках и активно применяются для распространения вредоносного ПО, включая Agent Tesla.
В результате проведенного исследования компания Lumen совместно с The ShadowServer Foundation начала блокировать вредоносный трафик, что существенно нарушило работу как ботнета Ngioweb, так и сервиса NSOCKS. Специалисты опубликовали индикаторы компрометации и призывают организации к совместным действиям по выявлению и блокировке вредоносной активности.
