Троян Moobot. Когда роутер становится лучшим другом ботнета
APT28 использовали учётные данные по умолчанию и троянизированные серверные процессы OpenSSH для доступа к Ubiquiti EdgeRouters, связанеые с Moobot, ботнетом на базе Mirai, который заражает устройства Интернета вещей (IoT) с использованием уязвимостей, которые можно использовать удалённо, таких как слабые пароли или пароли по умолчанию.
Троянские файлы OpenSSH-сервера
Троянские бинарные OpenSSH, загруженные с packinstall[.]kozow [.]com, заменили оригинальные бинарные файлы на EdgeRouters с целью удалённо обходить аутентификацию и получать несанкционированный доступ к скомпрометированным маршрутизаторам.
Ботнет Moobot известен своей способностью использовать уязвимости в устройствах Интернета вещей, особенно с ненадёжными паролями или паролями по умолчанию. Заменяя законные двоичные файлы сервера OpenSSH троянскими версиями, APT28 могут поддерживать постоянный доступ к скомпрометированным EdgeRouters и использовать их в различных вредоносных целях.
Moobot – это ботнет на базе Mirai и является производным от Mirai, которая впервые появилась в 2016 году. Mirai был предназначен для сканирования и заражения IoT-устройств путём использования распространённых уязвимостей и учётных данных по умолчанию. Как только устройство заражено, оно становится частью ботнета и может использоваться для распределённых атак типа "отказ в обслуживании" (DDoS), credential stuffing и других вредоносных действий.
Воздействие на маршрутизаторы EdgeRouters
При наличии троянизированных процессов OpenSSH APT28 могут поддерживать постоянный доступ к скомпрометированным маршрутизаторы и использовать их в качестве платформы для вредоносных действий:
📌 Проксирование сетевого трафика
📌 Размещение целевых страниц для защиты от фишинга и пользовательских инструментов