Факты
August 21

Троян Moobot. Когда роутер становится лучшим другом ботнета

APT28 использовали учётные данные по умолчанию и троянизированные серверные процессы OpenSSH для доступа к Ubiquiti EdgeRouters, связанеые с Moobot, ботнетом на базе Mirai, который заражает устройства Интернета вещей (IoT) с использованием уязвимостей, которые можно использовать удалённо, таких как слабые пароли или пароли по умолчанию.

Троянские файлы OpenSSH-сервера

Троянские бинарные OpenSSH, загруженные с packinstall[.]kozow [.]com, заменили оригинальные бинарные файлы на EdgeRouters с целью удалённо обходить аутентификацию и получать несанкционированный доступ к скомпрометированным маршрутизаторам.

Ботнет Moobot известен своей способностью использовать уязвимости в устройствах Интернета вещей, особенно с ненадёжными паролями или паролями по умолчанию. Заменяя законные двоичные файлы сервера OpenSSH троянскими версиями, APT28 могут поддерживать постоянный доступ к скомпрометированным EdgeRouters и использовать их в различных вредоносных целях.

Ботнет на базе Mirai

Moobot – это ботнет на базе Mirai и является производным от Mirai, которая впервые появилась в 2016 году. Mirai был предназначен для сканирования и заражения IoT-устройств путём использования распространённых уязвимостей и учётных данных по умолчанию. Как только устройство заражено, оно становится частью ботнета и может использоваться для распределённых атак типа "отказ в обслуживании" (DDoS), credential stuffing и других вредоносных действий.

Воздействие на маршрутизаторы EdgeRouters

При наличии троянизированных процессов OpenSSH APT28 могут поддерживать постоянный доступ к скомпрометированным маршрутизаторы и использовать их в качестве платформы для вредоносных действий:

📌 Сбор учётных данных

📌 Сбор NTLMv2

📌 Проксирование сетевого трафика

📌 Размещение целевых страниц для защиты от фишинга и пользовательских инструментов