Um ator de ameaças chamado Matrix foi ligado a uma campanha distribuída de negação de serviço (DoS) de grande alcance que explora vulnerabilidades e má configurações em dispositivos da Internet das Coisas (IoT) para cooptá-los em um botnet disruptivo.
"Esta operação serve como uma loja de serviços completa para a varredura, exploração de vulnerabilidades, implantação de malware e configuração de kits de ataque, mostrando uma abordagem faça-você-mesmo para ciberataques," disse Assaf Morag, diretor de inteligência de ameaças na firma de segurança em nuvem Aqua.
Há evidências que sugerem que a operação é o trabalho de um ator isolado, um script kiddie de origem russa.
Os ataques têm como alvo principal endereços IP localizados na China, Japão e, em menor escala, Argentina, Austrália, Brasil, Egito, Índia e EUA.
A ausência da Ucrânia na pegada de vitimologia indica que os atacantes são movidos puramente por motivações financeiras, disse a firma de segurança em nuvem.
As cadeias de ataque são caracterizadas pela exploração de falhas de segurança conhecidas, bem como credenciais padrão ou fracas para obter acesso a um amplo espectro de dispositivos conectados à internet, como câmeras IP, DVRs, roteadores e equipamentos de telecomunicações.
O ator de ameaça também foi observado explorando servidores Telnet, SSH e Hadoop mal configurados, com um foco particular em mirar faixas de endereços IP associadas a provedores de serviços em nuvem (CSPs) como Amazon Web Services (AWS), Microsoft Azure e Google Cloud.
A atividade maliciosa também conta com uma ampla gama de scripts e ferramentas publicamente disponíveis no GitHub, no final das contas implantando o malware do botnet Mirai e outros programas relacionados a DDoS em dispositivos e servidores comprometidos.
Isso inclui PYbot, pynet, DiscordGo, Homo Network, um programa JavaScript que implementa um ataque de flood HTTP/HTTPS, e uma ferramenta que pode desativar o aplicativo Microsoft Defender Antivirus em máquinas Windows.
Matrix também foi encontrado usando uma conta própria no GitHub, que abriram em novembro de 2023 para montar alguns dos artefatos de DDoS usados na campanha.
Também é acreditado que toda a oferta é anunciada como um serviço de DDoS por aluguel por meio de um bot do Telegram chamado "Kraken Autobuy" que permite aos clientes escolher entre diferentes níveis em troca de um pagamento em criptomoeda para conduzir os ataques.
"Esta campanha, embora não altamente sofisticada, demonstra como ferramentas acessíveis e conhecimento técnico básico podem capacitar indivíduos a executar um ataque amplo e multifacetado em numerosas vulnerabilidades e má configurações em dispositivos conectados à rede," disse Morag.
A simplicidade desses métodos destaca a importância de abordar práticas de segurança fundamentais, como mudar credenciais padrão, proteger protocolos administrativos e aplicar atualizações de firmware em tempo hábil, para se proteger contra ataques oportunistas amplos como este.
A divulgação vem enquanto a NSFOCUS lança luz sobre uma família de botnets evasiva chamada XorBot que tem como alvo principal câmeras da Intelbras e roteadores da NETGEAR, TP-Link e D-Link desde novembro de 2023.
"À medida que o número de dispositivos controlados por este botnet aumenta, os operadores por trás dele também começaram a se engajar ativamente em operações lucrativas, anunciando abertamente serviços de aluguel de ataque DDoS," disse a empresa de cibersegurança, acrescentando que o botnet é anunciado sob o apelido de Masjesu.
Ao mesmo tempo, adotando meios técnicos avançados como a inserção de código redundante e ofuscando assinaturas de amostra, eles melhoraram as capacidades defensivas ao nível do arquivo, tornando seu comportamento de ataque mais difícil de monitorar e identificar.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...