ΑρχικήSecurityΤο Ngioweb botnet μπλοκάρεται από τις αρχές

Το Ngioweb botnet μπλοκάρεται από τις αρχές

Το botnet Ngioweb, το οποίο προμηθεύει περισσότερα από τα 35.000 bot της υπηρεσίας διακομιστή μεσολάβησης NSOCKS για εγκληματίες στον κυβερνοχώρο, διακόπτεται καθώς οι εταιρείες ασφαλείας μπλοκάρουν την κυκλοφορία από και προς τα δύο δίκτυα.

Δείτε επίσης: Androxgh0st Botnet: Ενσωματώνει payloads του Mozi για στόχευση IoT συσκευών

Ngioweb botnet

Μετά από έρευνα για περισσότερο από ένα χρόνο, οι ερευνητές εντόπισαν την πλήρη αρχιτεκτονική και την κυκλοφορία του διακομιστή μεσολάβησης botnet Ngioweb, ο οποίος παρατηρήθηκε για πρώτη φορά το 2017.

Advertisement

Από τα τέλη του 2022, η υπηρεσία μεσολάβησης στο nsocks[.]net, παρέχει οικιακές πύλες για κακόβουλη δραστηριότητα με το όνομα NSOCKS.

Πολλές εταιρείες κυβερνοασφάλειας έχουν αναφέρει ότι πολλά από τα proxies που προσφέρονται από το NSOCKS προέρχονταν από το botnet Ngioweb, αλλά δεν ανακαλύφθηκαν όλοι οι κόμβοι εντολής και ελέγχου (C2).

Σε μια πρόσφατη έκθεση, ερευνητές στο Lumen’s Black Lotus Labs παρακολούθησαν τόσο τους ενεργούς όσο και τους ιστορικούς κόμβους C2 και την αρχιτεκτονική που σχηματίζουν.

Σημειώνουν ότι στο δίκτυο NSOCKS[.] «οι χρήστες δρομολογούν την κυκλοφορία τους μέσω περισσότερων από 180 κόμβων «backconnect» C2 που χρησιμεύουν ως σημεία εισόδου/εξόδου» για να κρύψουν την ταυτότητά τους.

Δείτε ακόμα: Κινέζοι hackers χρησιμοποιούν το Quad7 botnet για να κλέψουν credentials

Σύμφωνα με την έκθεση, το botnet Ngioweb παρέχει τουλάχιστον το 80% των 35.000 proxies που παρέχονται από το NSOCKS, οι οποίοι είναι διάσπαρτοι σε 180 χώρες.

Το botnet διαθέτει ένα δίκτυο φόρτωσης που ανακατευθύνει τις μολυσμένες συσκευές σε έναν διακομιστή C2 για να ανακτήσει και να εκτελέσει το κακόβουλο λογισμικό ngioweb.

Αν και δεν είναι σαφές πώς γίνεται η αρχική πρόσβαση, η Black Lotus Labs πιστεύει ότι ο παράγοντας απειλής βασίζεται σε περίπου 15 εκμεταλλεύσεις για διάφορα τρωτά σημεία n-day.

Στο δεύτερο στάδιο, η παραβιασμένη συσκευή έρχεται σε επαφή με τομείς C2 που δημιουργήθηκαν χρησιμοποιώντας έναν αλγόριθμο δημιουργίας τομέα (DGA) και προσδιορίζει εάν το bot μπορεί να χρησιμοποιηθεί για το δίκτυο μεσολάβησης.

Αυτά τα C2 διαχείρισης παρακολουθούν και ελέγχουν τη χωρητικότητα του bot για κίνηση και τα συνδέουν επίσης σε έναν διακομιστή “backconnect” που τα καθιστά διαθέσιμα για την υπηρεσία διακομιστή μεσολάβησης NSOCKS.

Προς το παρόν, τόσο η υπηρεσία Ngioweb όσο και η υπηρεσία NSOCKS[.net] διαταράσσονται σοβαρά, καθώς το Lumen έχει εντοπίσει την αρχιτεκτονική και την κυκλοφορία του botnet. Μαζί με συνεργάτες του κλάδου όπως το The ShadowServer Foundation, η εταιρεία μπλοκάρει την κυκλοφορία προς και από τους γνωστούς κόμβους C2 που σχετίζονται με τα δύο δίκτυα.

Δείτε επίσης: Το Gorilla Botnet εμπνευσμένο από το Mirai, χτυπά 0.3 εκατ. στόχους σε 100 χώρες

Τα botnets αποτελούν μια σημαντική και εξελιγμένη απειλή στον τομέα της κυβερνοασφάλειας. Ουσιαστικά, ένα botnet είναι ένα δίκτυο παραβιασμένων υπολογιστών ή συσκευών που ελέγχονται εξ αποστάσεως από έναν εισβολέα, συχνά χωρίς τη γνώση των κατόχων τους. Αυτά τα δίκτυα μπορούν να χρησιμοποιηθούν για διάφορους κακόβουλους σκοπούς, συμπεριλαμβανομένης της εκτόξευσης επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS), αποστολής ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου ή ανάπτυξης πρόσθετου κακόβουλου λογισμικού. Η ύπουλη πτυχή των botnet έγκειται στην ικανότητά τους να αξιοποιούν τη συνδυασμένη ισχύ και τους πόρους πολλών μηχανών, καθιστώντας τις επιθέσεις τους πιο ισχυρές και δύσκολο να αποτραπούν.

Πηγή: bleepingcomputer

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS