Um agente de ameaças chamado Matrix foi associado a uma ampla campanha de negação de serviço distribuída (DoD) que aproveita vulnerabilidades e configurações incorretas em dispositivos de Internet das Coisas (IoT) para cooptá-los em uma botnet disruptiva.
“Esta operação serve como um balcão único e abrangente para escaneamento, exploração de vulnerabilidades, implantação de malware e configuração de kits de loja, demonstrando uma abordagem do tipo “faça você mesmo” para ataques cibernéticos”, disse Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua .
Há evidências que sugerem que a operação é obra de um ator lobo solitário, um script kiddie de origem russa. Os ataques têm como alvo principal endereços IP localizados na China, Japão e, em menor extensão, Argentina, Austrália, Brasil, Egito, Índia e EUA.
A ausência da Ucrânia na pegada de vitimização indica que os invasores são motivados puramente por motivos financeiros, disse a empresa de segurança em nuvem.
As cadeias de ataque são caracterizadas pela exploração de falhas de segurança conhecidas, bem como credenciais padrão ou fracas para obter acesso a um amplo espectro de dispositivos conectados à Internet, como câmeras IP, DVRs, roteadores e equipamentos de telecomunicações.
O agente da ameaça também foi observado aproveitando servidores Telnet, SSH e Hadoop mal configurados, com foco específico em atingir intervalos de endereços IP associados a provedores de serviços de nuvem (CSPs), como Amazon Web Services (AWS), Microsoft Azure e Google Cloud.
A atividade maliciosa também depende de uma ampla gama de scripts e ferramentas disponíveis publicamente no GitHub, implantando o malware botnet Mirai e outros programas relacionados a DDoS em dispositivos e servidores comprometidos.
Isso inclui PYbot , pynet , DiscordGo , Homo Network , um programa JavaScript que implementa um ataque de inundação HTTP/HTTPS e uma ferramenta que pode desabilitar o aplicativo Microsoft Defender Antivirus em máquinas Windows.
Também foi descoberto que a Matrix usou uma conta própria no GitHub, aberta em novembro de 2023, para encenar alguns dos artefatos DDoS usados na campanha.
Acredita-se também que toda a oferta seja anunciada como um serviço DDoS de aluguel por meio de um bot do Telegram chamado “Kraken Autobuy”, que permite que os clientes escolham entre diferentes níveis em troca de um pagamento em criptomoeda para conduzir os ataques.
“Esta campanha, embora não seja muito sofisticada, demonstra como ferramentas acessíveis e conhecimento técnico básico podem permitir que indivíduos executem um ataque amplo e multifacetado a inúmeras vulnerabilidades e configurações incorretas em dispositivos conectados à rede”, disse Morag.
“A simplicidade desses métodos destaca a importância de abordar práticas fundamentais de segurança, como alterar credenciais padrão, proteger protocolos administrativos e aplicar atualizações de firmware oportunas, para proteger contra ataques amplos e oportunistas como este.”
A divulgação ocorre no momento em que a NSFOCUS lança luz sobre uma família de botnets evasiva chamada XorBot , que tem como alvo principal câmeras e roteadores Intelbras da NETGEAR, TP-Link e D-Link desde novembro de 2023.
“À medida que o número de dispositivos controlados por esta botnet aumenta, os operadores por trás dela também começaram a se envolver ativamente em operações lucrativas, anunciando abertamente serviços de aluguel de ataques DDoS”, disse a empresa de segurança cibernética , acrescentando que a botnet é anunciada sob o apelido Masjesu.
“Ao mesmo tempo, ao adotar meios técnicos avançados, como inserir código redundante e ofuscar assinaturas de amostra, eles melhoraram as capacidades defensivas no nível do arquivo, tornando seu comportamento de ataque mais difícil de monitorar e identificar.”