Дослідники з компанії Forescout виявили масштабну кібератаку на корпоративні мережі, що використовують маршрутизатори DrayTek. Зловмисники успішно скомпрометували щонайменше 300 організацій, експлуатуючи невідому раніше вразливість нульового дня для поширення програм-вимагачів. Масштаб та складність атаки вказують на високий рівень організації кіберзлочинців.

Деталі кіберкампанії та механізм атаки

Протягом серпня-вересня 2023 року хакерське угруповання Monstrous Mantis здійснило серію атак, націлених на понад 20 000 пристроїв DrayTek. Особливістю кампанії стало використання раніше невідомої zero-day вразливості для отримання первинного доступу до корпоративних мереж. Угруповання діяло як посередник, надаючи доступ до скомпрометованих систем іншим кіберзлочинним групам.

Взаємодія кіберзлочинних угруповань

Аналіз показав складну схему співпраці між хакерськими групами. Monstrous Mantis передавала викрадені облікові дані партнерським угрупованням Ruthless Mantis (PTI-288) та LARVA-15 (Wazawaka). Ці групи використовували отриману інформацію для проведення власних атак, зокрема для поширення програм-вимагачів Nokoyawa та Qilin.

Географія та масштаб впливу

Найбільше постраждали організації у Великій Британії та Нідерландах, де Ruthless Mantis, імовірно пов’язана з REvil, успішно атакувала 337 компаній. Група LARVA-15 зосередила свою діяльність на цілях у дев’яти країнах, включаючи Австралію, Францію, Німеччину та Італію, виконуючи роль брокера первинного доступу.

Технічний аналіз вразливості

За даними експертів Forescout та Prodaft, виявлена вразливість нульового дня пов’язана з компонентом mainfunction.cgi в адміністративному інтерфейсі маршрутизаторів DrayTek. У листопаді 2024 року до бази NVD було додано 22 нові ідентифікатори CVE, що стосуються цього компонента. Вразливість affects переважно застарілі моделі, включаючи Vigor300B, Vigor2960 та Vigor3900.

Спеціалісти з кібербезпеки наголошують на необхідності термінового оновлення програмного забезпечення маршрутизаторів та впровадження додаткових заходів захисту. Рекомендується регулярно проводити аудит мережевої інфраструктури, використовувати багатофакторну автентифікацію та впроваджувати системи моніторингу мережевої активності. Особливу увагу слід приділити оновленню застарілих моделей маршрутизаторів та посиленню контролю доступу до адміністративних інтерфейсів.