29/09/25
Анализ утекших логов командных серверов позволил проследить полную цепочку атак — от взлома админ-панелей до установки многоархитектурных бинарников и дальнейшего использования заражённых устройств.
Злоумышленники используют комбинацию методов: подстановку неподготовленных параметров POST (в полях ntp, syslog, hostname), перебор дефолтных паролей и эксплуатацию уязвимостей в корпоративных и CMS-системах, пишет Securitylab. Среди целей оказались Oracle WebLogic, WordPress и vBulletin, для которых применялись известные баги, включая CVE-2019-17574, CVE-2019-16759 и CVE-2012-1823. В корпоративном сегменте фиксировались попытки эксплуатации десериализации WebLogic, Struts2 OGNL-инъекций и JNDI-эксплойтов.
По данным CloudSEK, в июле и августе 2025 года частота атак выросла на 230%. На заражённые устройства загружались мультиархитектурные исполняемые файлы семейства «Morte» и майнеры JSON-RPC, а также боты с функционалом Mirai. В дальнейшем их ресурсы использовались для DDoS-кампаний, скрытого майнинга и перепродажи доступа.
Экспозиция логов командных панелей показала системный подход операторов. Блоки [ReplyPageLogin] фиксировали перебор учётных данных, [ConfigSystemCommand] и [SystemCommand] содержали команды для скачивания дропперов через wget, busybox и TFTP/FTP-цепочки. Метки [ReplyErrorPage] и [ReplySuccessPage] помогали отслеживать успешное выполнение или ошибки, а [ReplyDeviceInfo] собирал информацию о прошивке, MAC-адресах и доступных сервисах. Это позволяло подбирать наиболее подходящий набор полезной нагрузки для каждого устройства.
Расследование показало, что основной фокус атаки был сосредоточен на SOHO-роутерах с уязвимыми интерфейсами вроде wlwps.htm и wan_dyna.html, а также на встраиваемых Linux-системах, куда загружались бинарные сборки morte.x86 и morte.x86_64. Дополнительный риск создаёт использование протоколов HTTP, FTP и TFTP для доставки полезной нагрузки, что делает ботнет устойчивым и гибким.
Влияние кампании оценивается как многоплановое. Для бизнеса это риск утечки данных, бокового движения по сети и распространения вторичных угроз, включая программы-вымогатели. Для корпоративных маршрутизаторов отмечены угрозы перегрузки каналов, подмены времени через NTP и манипуляции DNS.
Малый бизнес и провайдеры сталкиваются с ситуацией, когда их инфраструктура превращается в трамплин для атак на более крупные цели. В результате организации фиксируют ухудшение производительности сетей, рост нагрузки на команды реагирования и необходимость постоянного мониторинга новых векторов атаки.
CloudSEK советует внедрять многоуровневую защиту: блокировать исходящий трафик HTTP, HTTPS, FTP и TFTP для IoT-сегментов, изолировать устройства с признаками подмены POST-параметров, обновлять прошивки и пароли, отключать удалённое администрирование.
Для SOC и SIEM рекомендуется настраивать правила обнаружения подозрительных запросов, включая использование wget, curl или вызовов через «|sh», а также мониторить аномальные JSON-RPC-соединения. При реагировании необходимо изолировать заражённые устройства, собирать артефакты вроде логов и содержимого /tmp, а при невозможности обновления полностью перепрошивать или заменять оборудование.
