Lumen Technologies’in yeni bulguları, Ngioweb olarak bilinen kötü amaçlı yazılımın, NSOCKS adı verilen kötü şöhretli bir konut proxy hizmetinin yanı sıra VN5Socks ve Shopsocks5 gibi diğer hizmetler tarafından da kullanıldığını ortaya koyuyor.
Lumen Technologies’deki Black Lotus Labs ekibi The Hacker News ile paylaşılan bir raporda “Telemetrimizdeki NSOCKS botlarının en az %80’i Ngioweb botnet’inden geliyor ve çoğunlukla küçük ofis/ev ofis (SOHO) yönlendiricileri ve IoT cihazlarını kullanıyor” dedi. . “Bu vekillerin üçte ikisi ABD’de bulunuyor”
“Ağda günlük ortalama yaklaşık 35.000 çalışan bot bulunuyor ve bunların %40’ı bir ay veya daha uzun süre aktif kalıyor.”
Kötü amaçlı yazılımı dağıtan bir Ramnit truva atı kampanyasıyla bağlantılı olarak Check Point tarafından ilk kez Ağustos 2018’de belgelenen Ngioweb, son haftalarda LevelBlue ve Trend Micro tarafından kapsamlı analizlere konu oldu; Trend Micro, finansal amaçlı tehdidi takip ediyor Operasyonun arkasındaki aktör Water Barghest.
Hem Microsoft Windows hem de Linux çalıştıran cihazları hedef alabilen kötü amaçlı yazılım, adını 2018 yılında “ngioweb” adı altında kaydedilen komuta ve kontrol (C2) alanından alıyor.[.]öyle.”
Trend Micro’ya göre botnet, Ekim 2024 itibarıyla 20.000’den fazla IoT cihazından oluşuyor; Water Barghest bunu otomatik komut dosyaları kullanarak savunmasız IoT cihazlarını bulup bunlara sızmak ve Ngioweb kötü amaçlı yazılımını dağıtmak ve bunları proxy olarak kaydetmek için kullanıyor. Enfekte olmuş botlar daha sonra bir konut proxy pazarında satışa sunuluyor.
Araştırmacılar Feike Hacquebord ve Fernando Mercês, “İlk enfeksiyondan cihazın konut proxy pazarında proxy olarak kullanılabilirliğine kadar para kazanma süreci 10 dakika kadar kısa sürebilir, bu da son derece verimli ve otomatik bir operasyona işaret ediyor” dedi.
Kötü amaçlı yazılımı kullanan saldırı zincirleri, diğerlerinin yanı sıra kameralar, elektrikli süpürgeler ve erişim kontrolleri gibi yönlendiricileri ve evdeki IoT cihazlarını ihlal etmek için kullandığı bir dizi güvenlik açığından ve sıfır günden yararlanır. Botnet iki katmanlı bir mimari kullanıyor: Birincisi, Ngioweb kötü amaçlı yazılımını almak ve yürütmek için botu bir yükleyici-C2 düğümüne yönlendiren 15-20 düğümden oluşan bir yükleyici ağıdır.
Konut proxy sağlayıcısının proxy’lerinin cihaz türüne göre dökümü, botnet operatörlerinin NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision ve NUUO dahil olmak üzere geniş bir satıcı yelpazesini hedeflediğini gösteriyor.
LevelBlue ve Lumen tarafından yapılan son açıklamalar, Ngioweb truva atının bulaştığı sistemlerin, daha önce Okta’yı hedef alan kimlik bilgisi doldurma saldırılarında tehdit aktörleri tarafından kullanılan NSOCKS için yerleşik proxy sunucuları olarak satıldığını ortaya koyuyor.
LevelBlue, “NSOCKS, tüm dünyada SOCKS5 proxy’lerine erişim satarak alıcıların bunları konuma (eyalet, şehir veya posta kodu), ISP’ye, hıza, virüslü cihazın türüne ve yeniliğe göre seçmesine olanak tanıyor” dedi. “Fiyatlar 24 saatlik erişim için 0,20 ile 1,50 dolar arasında değişiyor ve cihaz türüne ve enfeksiyondan bu yana geçen süreye bağlı.”
Kurban cihazların ayrıca, bir alan oluşturma algoritması (DGA) tarafından oluşturulan C2 alanlarının ikinci aşamasıyla uzun vadeli bağlantılar kurduğu da tespit edildi. Belirli bir zamanda sayısı yaklaşık 15 olan bu alan adları, botların proxy ağına eklenmeye değer olup olmadığını belirleyen “geçit denetleyicisi” görevi görür.
Cihazların uygunluk kriterlerini geçmesi durumunda, DGA C2 düğümleri onları bir geri bağlantı C2 düğümüne bağlar ve bu da onları NSOCKS proxy hizmeti aracılığıyla kullanıma hazır hale getirir.
Lumen Technologies, “NSOCKS kullanıcıları, trafiklerini, gerçek kimliklerini gizlemek veya temsil etmek için kullanılan giriş/çıkış noktaları olarak hizmet veren 180’den fazla ‘geri bağlantı’ C2 düğümü üzerinden yönlendiriyor.” dedi. “Bu hizmetin arkasındaki aktörler, müşterilerine yalnızca kötü amaçlı trafiği proxy olarak kullanmak için bir araç sağlamakla kalmadı, aynı zamanda altyapı da çeşitli tehdit aktörlerinin kendi hizmetlerini oluşturmasını sağlayacak şekilde tasarlandı.”
Daha da kötüsü, NSOCKS tarafından desteklenen açık proxy’ler, çeşitli aktörlerin geniş ölçekte güçlü dağıtılmış hizmet reddi (DDoS) saldırıları başlatması için bir yol olarak ortaya çıktı.
Konut proxy hizmetlerine yönelik ticari pazarın ve proxy yeraltı pazarının, kısmen gelişmiş kalıcı tehdit (APT) grupları ve benzer siber suç gruplarından gelen talebin etkisiyle önümüzdeki yıllarda büyümesi bekleniyor.
Lumen, “Bu ağlar genellikle açıkları bulan veya kimlik bilgilerini çalan suçlular tarafından kullanılıyor ve onlara konumlarını veya kimliklerini açıklamadan kötü amaçlı araçları dağıtmak için kusursuz bir yöntem sağlıyor.” dedi.
“Özellikle endişe verici olan, NSOCKS gibi bir hizmetin kullanılma şeklidir. NSOCKS ile kullanıcılar, uç noktaları için 180 farklı ülke arasından seçim yapma seçeneğine sahip oluyor. Bu yetenek, yalnızca kötü niyetli aktörlerin faaliyetlerini dünya geneline yaymasına izin vermekle kalmıyor, aynı zamanda .gov veya .edu gibi belirli varlıkları etki alanına göre hedefleyebilirler; bu da daha odaklı ve potansiyel olarak daha zarar verici saldırılara yol açabilir.”