Компанія Lumen Black Lotus Labs провела ґрунтовне дослідження інфраструктури ботнета Ngioweb, що забезпечує функціонування нелегального прокси-сервісу NSOCKS. Результати розслідування показали, що ця шкідлива мережа, вперше виявлена у 2017 році, наразі контролює близько 28 000 скомпрометованих пристроїв по всьому світу.
Архітектура та масштаби шкідливої мережі
Дослідження виявило складну інфраструктуру NSOCKS, що включає понад 180 керуючих backconnect-вузлів для маршрутизації трафіку. Примітно, що 80% із загальної кількості у 35 000 прокси-серверів, розташованих у 180 країнах, підтримуються саме ботнетом Ngioweb. Для компрометації пристроїв зловмисники використовують арсенал із 15 різних експлойтів, спрямованих на вразливості “нульового дня”.
Вразливі пристрої та механізми інфікування
Основними мішенями Ngioweb стають домашні маршрутизатори та IoT-пристрої з застарілим програмним забезпеченням. Серед найбільш вразливого обладнання – продукція виробників Zyxel, Reolink та Alpha Technologies. Особливу увагу привертає нещодавня хвиля масового зараження маршрутизаторів Netgear, які наразі складають 10% від загальної кількості скомпрометованих пристроїв.
Технічні особливості та вразливості інфраструктури
Аналіз показав, що сучасні версії шкідливого програмного забезпечення Ngioweb залишились практично незмінними з 2019 року. Ключові модифікації включають впровадження алгоритму генерації доменів (DGA) замість статичних URL та використання DNS TXT записів для захисту від перехоплення управління. Проте експерти виявили критичні недоліки в системі безпеки як самого ботнета, так і сервісу NSOCKS.
Виявлені вразливості безпеки
Дослідники зафіксували відсутність механізмів аутентифікації для доступу до прокси-серверів NSOCKS, що дозволяє використовувати їх без оплати при наявності IP-адрес та портів. Більшість цих прокси вже внесені до публічних списків та активно використовуються для поширення шкідливого програмного забезпечення, зокрема Agent Tesla.
За результатами проведеного дослідження компанія Lumen спільно з The ShadowServer Foundation розпочала активну протидію шкідливому трафіку, що призвело до суттєвого порушення роботи як ботнета Ngioweb, так і сервісу NSOCKS. Фахівці опублікували індикатори компрометації та закликають організації до спільних дій щодо виявлення та блокування зловмисної активності для підвищення загального рівня кібербезпеки.
