Исследователям удалось разобраться в инфраструктуре ботнета Ngioweb, который поставляет десятки тысяч прокси хакерскому сервису NSOCKS и впервые был обнаружен еще в 2017 году. В результате работа ботнета была нарушена, так как ИБ-компании начали блокировать его трафик.
Как рассказывает издание Bleeping Computer, с конца 2022 года прокси-сервис NSOCKS, работающий по адресу nsocks[.]net, предоставляет своим клиентам шлюзы для вредоносной активности. С тех пор сразу несколько ИБ-компаний обратили внимание, что многие прокси NSOCKS напрямую связаны с ботнетом Ngioweb, хотя далеко не все его управляющие серверы удавалось обнаружить.
Теперь же специалисты Lumen Black Lotus Labs сообщили, что им удалось отследить активные и прошлые управляющие серверы ботнета и разобраться в инфраструктуре, частью которой они являются.
По данным исследователей, пользователи NSOCKS «направляют свой трафик более чем через 180 управляющих backconnect-узлов, которые служат точками входа/выхода». А ботнет Ngioweb обеспечивает сервис примерно 80% из 35 000 прокси, которые разбросаны по 180 странам мира.
Ботнет имеет отдельную сеть загрузчиков, которые перенаправляют зараженные устройства на управляющие серверы для получения и выполнения малвари ngioweb. Хотя неясно, как происходит первоначальное заражение, специалисты считают, что злоумышленники используют около 15 эксплоитов для атак на самые разные n-day уязвимости.
В основном Ngioweb атакует устройства SOHO- и IoT-устройства с уязвимыми или давно устаревшими библиотеками веб-приложений. В их число которых входят продукты Zyxel, Reolink и Alpha Technologies. Также в последнее время зафиксировано добавление в ботнет множества маршрутизаторов Netgear. В итоге сейчас около 10% от общего количества ботов связаны именно с этим брендом.
На втором этапе атаки скомпрометированное устройство связывается с C&C-доменами, которые создаются с помощью DGA (Domain Generation Algorithm), после чего определяется, пригоден ли этот бот для работы в прокси-сети. В частности, эти C&C-серверы проверяют пропускную способность ботов, а также подключают их к backconnect-серверу, который делает их доступными для NSOCKS.
По словам специалистов, последние образцы малвари ngioweb претерпели мало изменений по сравнению с более старыми вариантами, изученными еще в 2019 году. Одним из немногих отличий стал переход от жестко закодированных URL управляющих серверов к доменам, созданным при помощи DGA. Еще одним отличием является использование записей DNS TXT для предотвращения sinkhole’а и потери контроля над DGA-доменами.
Хотя Ngioweb имеет достаточно сложную архитектуру, позволяющую фильтровать устройства в зависимости от их возможностей, аналитики Black Lotus Labs пишут, что операторы ботнета не сумели должным образом защитить зараженные устройства. По их словам, NSOCKS тоже не обладает достаточной защитой, из-за чего его могут эксплуатировать многочисленные пользователи, которые даже не платят за сервис.
В Black Lotus Labs объясняют, что IP-адреса и номера портов, которые получают платные пользователи NSOCKS, не имеют механизма аутентификации, то есть могут использоваться другими злоумышленниками, если попадут в их руки.
«Согласно публично доступным отчетам, большинство из этих IP-адресов уже фигурируют в списках бесплатных прокси. Эти списки регулярно используются злоумышленниками, а содержащиеся в них прокси часто применяются для проксирования трафика различными образцами вредоносного ПО (например, Agent Tesla)», — пишут эксперты.
Также отмечается, что эти прокси неоднократно применялись для амплификации DDoS-атак (1, 2) и других видов вредоносной активности: от сокрытия трафика малвари до фишинга и атак типа credential stuffing. Кроме того, устройствами, зараженными Ngioweb, пользовались и «правительственные» хакеры, что позволял им смешивать трафик, связанный со шпионажем, с рядовой киберпреступной активностью.
По словам экспертов, в настоящее время работа Ngioweb и NSOCKS нарушена, поскольку компания Lumen, вместе с отраслевыми партнерами (включая The ShadowServer Foundation), начала блокировать трафик от известных C&C-узлов к сетям Ngioweb и NSOCKS.
К своему отчету эксперты приложили список индикаторов компрометации и призывают другие компании помочь в выявлении вредоносных ботов, еще больше нарушая работу ботнета и NSOCKS.
Следует отметить, что на этой неделе вышли еще две крупные публикации, посвященные анализу активности Ngioweb. Работу ботнета и связанных с ним сервисов изучили аналитики компаний LevelBlue и Trend Micro.
