Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группа ViciousTrap создала ботнет-ханипот из 5300 устройств (http://txgate.io:443/showthread.php?t=51300569)

WWW 05-28-2025 09:54 AM
<div id="post_message_793953">

Аналитики Sekoia <a href="https://blog.sekoia.io/vicioustrap-infiltrate-control-lure-turning-edge-devices-into-honeypots-en-masse/" target="_blank">обнаружили</a>, что хак-группа ViciousTrap взломала около 5300 пограничных сетевых устройств в 84 странах мира и превратила их в ботнет, напоминающий большой ханипот.<br/>
<br/>
Злоумышленники использовали для взлома старую критическую уязвимость <a href="https://nvd.nist.gov/vuln/detail/cve-2023-20118" target="_blank">CVE-2023-20118</a>, представляющую опасность для маршрутизаторов Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325.<br/>
<br/>
Отмечается, что большая часть скомпрометированных устройств (850) находится в Макао.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514388/map.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Цепочка заражения состоит из выполнения шелл-скрипта под названием NetGhost, который перенаправляет входящий трафик с определенных портов взломанного маршрутизатора в подконтрольную злоумышленникам инфраструктуру, напоминающую ханипот, что позволяет хакерам перехватывать сетевые соединения», — рассказывают эксперты.</font>
</td>
</tr>
</table>
</div>Ранее эксплуатацию проблемы CVE-2023-20118 приписывали другому ботнету, получившему название <a href="https://blog.sekoia.io/polaredge-unveiling-an-uncovered-iot-botnet/" target="_blank">PolarEdge</a>, и теперь предполагается, что эти вредоносные кампании могут быть связаны.<br/>
<br/>
Эксперты считают, что стоящие за ViciousTrap злоумышленники, скорее всего, создают ханипот-инфраструктуру, взламывая широкий спектр устройств, включая домашние роутеры, SSL-VPN, видеорегистраторы и BMC-контроллеры более чем 50 брендов, включая Araknis Networks, Asus, D-Link, Linksys и Qnap.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514388/lists.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Такая схема позволяет злоумышленникам наблюдать за попытками эксплуатации в разных средах, собирать непубличные эксплоиты и эксплоиты нулевого дня, а также повторно использовать доступ, полученный другими хакерами», — объясняют в компании.</font>
</td>
</tr>
</table>
</div>По данным исследователей, все обнаруженные попытки эксплуатации исходили с одного IP-адреса (101.99.91[.]151), и самая ранняя активность датируется мартом 2025 года. Примечательно, что месяцем позже участники ViciousTrap использовали для своих операций недокументированный веб-шелл, ранее применявшийся в атаках PolarEdge.<br/>
<br/>
Также ранее в этом месяце были замечены попытки похожих атак на маршрутизаторы Asus, но с другого IP-адреса (101.99.91[.]239), хотя в этом случае злоумышленники не создавали на зараженных устройствах ханипотов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514388/Frame-43-3.png"/><br/>
<br/>
Все связанные с этой кампанией IP-адреса расположены в Малайзии и являются частью AS45839, управляемой хостинг-провайдером Shinjiru. Предполагается, что стоящая за атаками группировка имеет китайское происхождение, так как ее инфраструктура незначительно пересекается с инфраструктурой GobRAT, а трафик перенаправляется на многочисленные ресурсы на Тайване и в США.<br/>
<br/>
«Конечная цель ViciousTrap остается неясной, но с большой долей уверенности мы предполагаем, что это развеждывательная сеть-ханипот», — заключают исследователи.<br/>
<br/>
<a href="https://xakep.ru/2025/05/27/vicioustrap/" target="_blank">@ xakep.ru</a>
</div>

Artifact 05-28-2025 10:01 AM
<div id="post_message_793953">

Аналитики Sekoia <a href="https://blog.sekoia.io/vicioustrap-infiltrate-control-lure-turning-edge-devices-into-honeypots-en-masse/" target="_blank">обнаружили</a>, что хак-группа ViciousTrap взломала около 5300 пограничных сетевых устройств в 84 странах мира и превратила их в ботнет, напоминающий большой ханипот.<br/>
<br/>
Злоумышленники использовали для взлома старую критическую уязвимость <a href="https://nvd.nist.gov/vuln/detail/cve-2023-20118" target="_blank">CVE-2023-20118</a>, представляющую опасность для маршрутизаторов Cisco Small Business RV016, RV042, RV042G, RV082, RV320 и RV325.<br/>
<br/>
Отмечается, что большая часть скомпрометированных устройств (850) находится в Макао.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514388/map.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Цепочка заражения состоит из выполнения шелл-скрипта под названием NetGhost, который перенаправляет входящий трафик с определенных портов взломанного маршрутизатора в подконтрольную злоумышленникам инфраструктуру, напоминающую ханипот, что позволяет хакерам перехватывать сетевые соединения», — рассказывают эксперты.</font>
</td>
</tr>
</table>
</div>Ранее эксплуатацию проблемы CVE-2023-20118 приписывали другому ботнету, получившему название <a href="https://blog.sekoia.io/polaredge-unveiling-an-uncovered-iot-botnet/" target="_blank">PolarEdge</a>, и теперь предполагается, что эти вредоносные кампании могут быть связаны.<br/>
<br/>
Эксперты считают, что стоящие за ViciousTrap злоумышленники, скорее всего, создают ханипот-инфраструктуру, взламывая широкий спектр устройств, включая домашние роутеры, SSL-VPN, видеорегистраторы и BMC-контроллеры более чем 50 брендов, включая Araknis Networks, Asus, D-Link, Linksys и Qnap.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514388/lists.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Такая схема позволяет злоумышленникам наблюдать за попытками эксплуатации в разных средах, собирать непубличные эксплоиты и эксплоиты нулевого дня, а также повторно использовать доступ, полученный другими хакерами», — объясняют в компании.</font>
</td>
</tr>
</table>
</div>По данным исследователей, все обнаруженные попытки эксплуатации исходили с одного IP-адреса (101.99.91[.]151), и самая ранняя активность датируется мартом 2025 года. Примечательно, что месяцем позже участники ViciousTrap использовали для своих операций недокументированный веб-шелл, ранее применявшийся в атаках PolarEdge.<br/>
<br/>
Также ранее в этом месяце были замечены попытки похожих атак на маршрутизаторы Asus, но с другого IP-адреса (101.99.91[.]239), хотя в этом случае злоумышленники не создавали на зараженных устройствах ханипотов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514388/Frame-43-3.png"/><br/>
<br/>
Все связанные с этой кампанией IP-адреса расположены в Малайзии и являются частью AS45839, управляемой хостинг-провайдером Shinjiru. Предполагается, что стоящая за атаками группировка имеет китайское происхождение, так как ее инфраструктура незначительно пересекается с инфраструктурой GobRAT, а трафик перенаправляется на многочисленные ресурсы на Тайване и в США.<br/>
<br/>
«Конечная цель ViciousTrap остается неясной, но с большой долей уверенности мы предполагаем, что это развеждывательная сеть-ханипот», — заключают исследователи.<br/>
<br/>
<a href="https://xakep.ru/2025/05/27/vicioustrap/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 11:36 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.