Дослідники компаній Forescout та Prodaft задокументували масштабну кіберкампанію проти маршрутизаторів DrayTek: у серпні–вересні 2023 року угруповання Monstrous Mantis скомпрометувало щонайменше 300 організацій, використавши вразливість нульового дня в компоненті mainfunction.cgi адміністративного інтерфейсу пристроїв. У листопаді 2024 року NVD опублікувала 22 нові ідентифікатори CVE, пов’язані з цим компонентом.
Вразливі моделі DrayTek та механізм атаки
Основний вектор атаки — вразливість zero-day у mainfunction.cgi, що дозволяла без автентифікації виконувати команди на пристрої. Найбільш постраждали застарілі моделі: Vigor300B, Vigor2960 та Vigor3900, для яких DrayTek припинив активну підтримку. Угруповання Monstrous Mantis атакувало понад 20 000 пристроїв, отримавши первинний доступ і передавши викрадені облікові дані партнерським групам — Ruthless Mantis (PTI-288) та LARVA-15 (Wazawaka) — для подальших атак. Короткий публічний розбір кампанії опубліковано у Risky Business.
Ланцюг груп та поширення програм-вимагачів
Monstrous Mantis діяла як initial access broker: вона продавала доступ до скомпрометованих мереж іншим злочинним угрупованням. Ruthless Mantis (імовірно пов’язана з REvil) розгорнула програму-вимагач Nokoyawa та атакувала 337 компаній у Великій Британії і Нідерландах. LARVA-15 використовувала програму-вимагач Qilin та зосередилась на цілях у дев’яти країнах, включаючи Австралію, Францію, Німеччину та Італію. Ця трирівнева структура атаки — зламати, перепродати, розгорнути вимагач — стала типовою моделлю для атак на мережеве обладнання.
Що зробити організаціям, що використовують маршрутизатори DrayTek
- Перевірити версію прошивки на всіх пристроях DrayTek і встановити актуальні оновлення з офіційного сайту виробника; для моделей Vigor300B, Vigor2960 та Vigor3900 перевірити наявність патчів або розглянути заміну пристроїв.
- Вимкнути доступ до адміністративного інтерфейсу з боку WAN (інтернету), якщо він не є операційно необхідним — більшість атак в цій кампанії починалась із публічно доступних панелей керування.
- Перевірити журнали маршрутизатора на нестандартні конфігураційні зміни або нові адміністративні облікові записи, додані після серпня 2023 року.
- Сегментувати мережу так, щоб компрометація граничного пристрою не давала прямого доступу до внутрішніх серверів та резервних копій.
- Проконсультуватися з переліком 22 CVE у базі NVD, пов’язаних із mainfunction.cgi, щоб визначити, чи ваші моделі входять до числа вразливих.
Кампанія Monstrous Mantis демонструє, що маршрутизатори з відкритим WAN-інтерфейсом і застарілою прошивкою залишаються однією з найпопулярніших точок первинного проникнення для груп, що спеціалізуються на програмах-вимагачах.
