Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Botnetai Kimwolf botneto kampanija

Kimwolf botneto kampanija

Autorius Mezo, Botnetai
Versti į:

Saugumo tyrėjai atskleidė didžiulį „Android“ skirtą botnetą, vadinamą „Kimwolf“, kuris, išnaudodamas gyvenamųjų namų tarpinio serverio tinklus, užpuolė daugiau nei du milijonus įrenginių. Kenkėjiška programa paverčia kasdienę vartotojų įrangą pasauline atakų platforma, tyliai nukreipdama kenkėjišką srautą ir sudarydama sąlygas didelio masto paskirstytoms paslaugų teikimo trikdymo (DDoS) operacijoms. Stebėjimai rodo maždaug 12 milijonų unikalių IP adresų kiekvieną savaitę, o tai pabrėžia nepaprastą šios operacijos mastą.

Ištakos, evoliucija ir sąsajos su AISURU

„Kimwolf“ pirmą kartą viešai buvo analizuojamas 2025 m. gruodį , kai tyrėjai nustatė stiprius techninius ir infrastruktūros ryšius su kitu botnetu, vadinamu AISURU. Įrodymai rodo, kad „Kimwolf“ veikė mažiausiai nuo 2025 m. rugpjūčio mėn. ir yra „Android“ pagrindu sukurta AISURU evoliucija. Tyrėjai vis labiau mano, kad šis botnetas vykdė kelias rekordines DDoS kampanijas, pastebėtas praėjusių metų pabaigoje.

Pasaulinis infekcijos pėdsakas ir tiksliniai prietaisai

Nors „Kimwolf“ veikia visame pasaulyje, užkrėtimų daugiausia yra Vietname, Brazilijoje, Indijoje ir Saudo Arabijoje. Nemaža dalis užkrėstų sistemų yra neoficialūs „Android“ išmanieji televizoriai ir priedėliai, kurių daugelis tiekiami su nesaugiomis numatytosiomis konfigūracijomis.

Bent 67 % prijungtų įrenginių naudoja neautentifikuotą „Android Debug Bridge“ (ADB) paslaugą, todėl juos galima valdyti nuotoliniu būdu. Tyrėjai įtaria, kad daugelis šių produktų prieš pasiekdami vartotojus yra iš anksto įkelti su tarpinio serverio programine įranga susiję programinės įrangos kūrimo rinkiniai (SDK), todėl jie faktiškai įtraukiami į tarpinio serverio ekosistemas, kurios vėliau tampa kenkėjiškų programų platinimo kanalais.

Kaip Kimwolf skleidžia ir išlaiko kontrolę

„Kimwolf“ operatoriai naudoja didelius gyvenamųjų namų tarpinio serverio tinklus, kad nuskaitytų internetą ir ieškotų „Android“ įrenginių, kuriuose veikia pažeidžiamos ADB paslaugos. Aptikus kenkėjišką programinę įrangą, ji įdiegiama nuotoliniu būdu, paverčiant įrenginį srauto perdavimo ir atakos mazgu. Pagrindinė apkrova atidaro klausytoją 40860 prievadu ir užmezga išorinį ryšį su 85.234.91[.]247:1337, iš kurio gauna operacines komandas.

Dar 2025 m. gruodžio mėn. užkrėtimai buvo atsekti į tarpinio serverio IP adresus, nuomojamus iš Kinijoje įsikūrusios IPIDEA – tiekėjos, reklamuojančios save kaip pirmaujančią pasaulyje IP tarpinio serverio paslaugą, kasdien atnaujinančią daugiau nei 6,1 mln. IP adresų ir 69 000 naujų adresų. Gruodžio 27 d. IPIDEA įdiegė saugos naujinimą, blokuojantį prieigą prie vietinių tinklų ir jautrių prievadų, kai paaiškėjo įrodymų, kad užpuolikai tuneliavo per klientų įdiegtą tarpinio serverio programinę įrangą, kad pasiektų vidinius įrenginius.

Analitikai šios technikos sukeltą poveikį apibūdino kaip precedento neturintį, nes milijonai vartotojų sistemų buvo tiesiogiai automatizuoto išnaudojimo kelyje.

Monetizavimas: tarpiniai serveriai, naudingoji apkrova ir mokamos atakos

Nuo pat pradžių Kimwolf finansiniai motyvai buvo aiškūs. Operatoriai agresyviai komercializavo savo infrastruktūrą, paversdami pažeistus įrenginius pelną generuojančiu turtu įvairiais kanalais:

  • Gyvenamųjų patalpų tarpinio serverio prieigos pardavimas, reklamuojamas vos už 0,20 USD už GB arba apie 1 400 USD per mėnesį už neribotą pralaidumą, kuris pritraukė ankstyvą daugelio tarpinio serverio paslaugų populiarumą.
  • Antrinių monetizacijos SDK diegimas, ypač „Plainproxies Byteconnect SDK“, kuris nukreipia mokamas tarpinio serverio užduotis iš komandų serverio į užkrėstus įrenginius per 119 skirtų perdavimo serverių.
  • Botneto piktnaudžiavimas kibernetinių nusikaltimų operacijoms, įskaitant didelio masto DDoS veiklą ir pastebėtas kredencialų klastojimo kampanijas prieš IMAP paslaugas ir populiarias internetines platformas.

Iš anksto užkrėstų televizijos priedėlių buvimas ir komercinių pralaidumo bendrinimo SDK integracija rodo gilėjantį botnetų operatorių ir tarpinio serverio ekonomikos segmentų bendradarbiavimą.

Apsauginės priemonės ir rizikos mažinimas

Siekiant sušvelninti panašias grėsmes, reikalingi koordinuoti veiksmai tiek paslaugų teikėjų, tiek galutinių vartotojų aplinkose:

  • Tarpinio serverio tinklai turėtų blokuoti srautą, skirtą RFC 1918 adresų diapazonams, neleisdami išoriniams klientams pasiekti vidinių privačių tinklų, kuriuose yra vartotojų įrenginiai.
  • Organizacijos ir asmenys turi išjungti arba apriboti neautentifikuotą ADB prieigą „Android“ sistemose, ypač įterptuosiuose ir daiktų interneto tipo įrenginiuose, kurie dažnai tiekiami su nesaugiais numatytaisiais nustatymais.

Be šių kontrolės priemonių, gyvenamųjų namų tarpinio serverio ekosistemos ir toliau teiks idealią priedangą didelio masto kenkėjiškų programų diegimui ir botnetų plitimui.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
29,237
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...