Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Botnetek Kimwolf botnet kampány

Kimwolf botnet kampány

Mezo -ra Botnetek-ben
Fordítás ide:

Biztonsági kutatók lelepleztek egy hatalmas, Android-központú botnetet, a Kimwolfot, amely több mint kétmillió eszközt támadott meg lakossági proxy hálózatok kihasználásával. A rosszindulatú program a mindennapi fogyasztói hardvereket globális támadási platformmá alakítja, csendben irányítja a rosszindulatú forgalmat, és lehetővé teszi a nagyszabású elosztott szolgáltatásmegtagadási (DDoS) műveleteket. A megfigyelések hetente nagyjából 12 millió egyedi IP-címet mutatnak, ami rávilágít a művelet rendkívüli mértékére.

Eredet, fejlődés és kapcsolatok az AISURU-val

A Kimwolfot először 2025 decemberében elemezték nyilvánosan, amikor a nyomozók szoros technikai és infrastrukturális kapcsolatokat azonosítottak egy másik, AISURU nevű botnettel. A bizonyítékok arra utalnak, hogy a Kimwolf legalább 2025 augusztusa óta aktív, és az AISURU Android-alapú evolúcióját képviseli. A kutatók egyre inkább úgy vélik, hogy ez a botnet számos rekordot döntő DDoS-kampányt működtetett, amelyeket a tavalyi év vége felé figyeltek meg.

Globális fertőzési lábnyom és célzott eszközök

Bár a Kimwolf világszerte jelen van, a fertőzések erősen koncentrálódnak Vietnámban, Brazíliában, Indiában és Szaúd-Arábiában. A feltört rendszerek jelentős része nem hivatalos Android okostévé és set-top box, amelyek közül sok nem biztonságos alapértelmezett konfigurációval érkezik.

A csatlakoztatott eszközök legalább 67%-a hitelesítetlen Android Debug Bridge (ADB) szolgáltatást használ, így távolról is elérhetővé válik. A nyomozók gyanítják, hogy ezek közül a termékek közül sok előre telepítve van proxyhoz kapcsolódó szoftverfejlesztő készletekkel (SDK-kkal), mielőtt eljutnának a fogyasztókhoz, így gyakorlatilag olyan proxy ökoszisztémákba regisztrálják őket, amelyek később a rosszindulatú programok terjesztési csatornáivá válnak.

Hogyan terjeszti és tartja fenn Kimwolf az irányítást

A Kimwolf operátorai nagyméretű lakossági proxy hálózatokra támaszkodnak az internet átvizsgálásához, hogy megtalálják a sebezhető ADB-szolgáltatásokat futtató Android-eszközöket. Azonosítás után a rosszindulatú program távolról települ, így az eszköz forgalomátjátszó és támadási csomóponttá válik. A központi adatcsomag egy figyelőt nyit a 40860-as porton, és kimenő kommunikációt létesít a 85.234.91[.]247:1337 címen, ahonnan működési parancsokat kap.

Még 2025 decemberében is a fertőzéseket a kínai IPIDEA-tól bérelt proxy IP-címekre vezették vissza. Az IPIDEA a világ vezető IP-proxy szolgáltatójaként hirdeti magát, naponta több mint 6,1 millió frissülő IP-címmel és 69 000 új címmel. December 27-én az IPIDEA egy biztonsági frissítést telepített, amely blokkolta a helyi hálózatokhoz és az érzékeny portokhoz való hozzáférést, miután bizonyítékok kerültek napvilágra arról, hogy a támadók az ügyfelek által telepített proxy szoftvereken keresztül jutottak el a belső eszközökhöz.

Az elemzők példátlannak nevezték a technikával létrehozott leleplezést, amely több millió fogyasztói rendszert helyezett közvetlenül az automatizált kizsákmányolás útjába.

Monetizáció: Proxyk, hasznos tartalmak és fizetett támadások

Kimwolf pénzügyi indítékai kezdettől fogva egyértelműek voltak. Az üzemeltetők agresszíven kereskedelmi forgalomba hozták infrastruktúrájukat, a veszélyeztetett eszközöket több csatornán keresztül profittermelő eszközökké alakítva:

  • Lakóépületek proxy hozzáférésének értékesítése, akár 0,20 dollárért GB-onként, vagy körülbelül havi 1400 dollárért korlátlan sávszélességért, ami számos proxy szolgáltatás korai alkalmazását vonzotta.
  • Másodlagos monetizációs SDK-k telepítése, amelyek közül a legjelentősebb a Plainproxies Byteconnect SDK, amely fizetős proxy feladatokat irányít egy parancsszerverről a fertőzött eszközökre 119 dedikált továbbítószerveren keresztül.
  • A botnet visszaélése kiberbűnözési műveletekhez, beleértve a nagyszabású DDoS-tevékenységet és az IMAP-szolgáltatások és népszerű online platformok elleni hitelesítőadat-feltörési kampányok megfigyelését.

Az előre fertőzött TV-dobozok jelenléte és a kereskedelmi sávszélesség-megosztó SDK-k integrációja erősen a botnet-üzemeltetők és a proxy gazdaság szegmensei közötti mélyülő együttműködésre utal.

Védekező intézkedések és kockázatcsökkentés

A hasonló fenyegetések mérséklése érdekében összehangolt fellépésre van szükség mind a szolgáltatók, mind a végfelhasználói környezetek körében:

  • A proxy hálózatoknak blokkolniuk kell az RFC 1918 címtartományokba irányuló forgalmat, megakadályozva, hogy a külső ügyfelek elérjék a belső magánhálózatokat, ahol a fogyasztói eszközök találhatók.
  • A szervezeteknek és az egyéneknek le kell tiltaniuk vagy korlátozniuk kell a hitelesítetlen ADB-hozzáférést Android rendszereken, különösen a beágyazott és IoT-stílusú eszközökön, amelyek gyakran nem biztonságos alapértelmezésekkel rendelkeznek.

Ezen ellenőrzések nélkül a lakossági proxy ökoszisztémák továbbra is ideális fedezéket biztosítanak a nagymértékű rosszindulatú programok telepítéséhez és a botnetek terjeszkedéséhez.

Felkapott

Legnézettebb

Betöltés...