Le botnet Ngioweb, qui fournit la plupart des 35 000 robots du service proxy cybercriminel NSOCKS, est perturbé car les entreprises de sécurité bloquent le trafic vers et depuis les deux réseaux.
Après une enquête de plus d’un an, les chercheurs ont identifié l’architecture complète et le trafic du serveur proxy du botnet Ngioweb, qui a été observé pour la première fois en 2017.
Ngioweb fournit 80% des mandataires NSOCKS
Depuis fin 2022, le service proxy de nsocks[.] net a fourni des passerelles résidentielles pour les activités malveillantes sous le nom NSOCKS.
Plusieurs sociétés de cybersécurité ont signalé que bon nombre des proxys proposés par NSOCKS provenaient du botnet Ngioweb, mais que tous ses nœuds de commande et de contrôle (C2) n’avaient pas été découverts.
Dans un rapport publié aujourd’hui, des chercheurs des laboratoires Black Lotus de Lumen ont suivi les nœuds C2 actifs et historiques et l’architecture qu’ils forment.
Ils notent que NSOCKS[.] net « les utilisateurs acheminent leur trafic via plus de 180” backconnect » nœuds C2 qui servent de points d’entrée/sortie” pour masquer leur identité.
Selon le rapport, le botnet Ngioweb fournit au moins 80% des 35 000 proxys fournis par NSOCKS, qui sont dispersés dans 180 pays.
Le botnet dispose d’un réseau de chargeur qui redirige les périphériques infectés vers un serveur C2 pour récupérer et exécuter le logiciel malveillant Web nagios.
Bien qu’il ne soit pas clair comment l’accès initial se produit, Black Lotus Labs pense que l’auteur de la menace s’appuie sur environ 15 exploits pour diverses vulnérabilités n-day.
Dans la deuxième étape, le périphérique compromis contacte les domaines C2 créés à l’aide d’un algorithme de génération de domaine (DGA) et détermine si le bot est utilisable pour le réseau proxy.
Ces C2 de gestion surveillent et vérifient la capacité du bot pour le trafic et les connectent également à un serveur » backconnect” qui les rend disponibles pour le service proxy NSOCKS.
Selon les chercheurs, les échantillons récents du logiciel malveillant ngioweb ont subi peu de modifications par rapport aux variantes plus anciennes analysées en 2019, l’une des différences étant le passage des URL C2 codées en dur aux domaines créés par la DGA.
Black Lotus Labs a déclaré à Breachtrace qu’une autre variante est l’utilisation d’enregistrements DNS TXT pour empêcher le sinkholing ou la perte de contrôle des domaines DGA.
Ngioweb cible les appareils avec des bibliothèques d’applications Web vulnérables ou abandonnées et inclut des produits des technologies Zyxel, Reolink et Alpha.
Récemment, les chercheurs ont observé une augmentation du nombre de routeurs Netgear ajoutés au botnet Ngioweb à un point tel que 10% des robots affichent le certificat de cette marque particulière.
Il est à noter que 45% des robots de Ngioweb sont vendus à NSOCKS via le réseau Shopsocks5.
Alors que Ngioweb est construit sur une architecture complexe qui permet de filtrer les appareils en fonction des capacités qu’ils offrent, Black Lotus Labs affirme que l’acteur derrière le botnet n’a pas réussi à sécuriser correctement ses appareils infectés.
Comme les chercheurs l’ont découvert, les appareils Ngioweb ont également été abusés par des pirates informatiques d’États-nations (APT28/Fancy Bear/Pawn Storm/Forest Blizzard), qui pouvaient facilement mélanger le trafic lié à l’espionnage avec des activités cybercriminelles.
Proxys ouverts utilisés pour les attaques DDoS
Les CHAUSSETTES[.]le réseau proxy net a également une sécurité inadéquate qui permet d’exploiter mes multiples acteurs, même ceux qui ne paient pas pour le service.
Il convient de noter qu’il existe un autre service proxy du même nom chez NSOCKS [.] com, qui n’a pas fait l’objet de cette enquête.
Black Lotus Labs explique que l’adresse IP et le numéro de port que l’acheteur de proxy NSOCKS obtient n’ont aucun mécanisme d’authentification et pourraient être utilisés par d’autres acteurs pour les trouver.
“Selon les rapports publics, la plupart de ces adresses IP apparaissent sur des listes de proxy gratuites. Ces listes sont régulièrement utilisées de manière abusive par les acteurs de la menace” et les proxys qui s’y trouvent sont souvent utilisés dans divers échantillons de logiciels malveillants, tels que l’Agent Tesla, pour proxy le trafic » – Black Lotus Labs de Lumen
Ces proxys ouverts ont été utilisés pour amplifier les attaques par déni de service distribué (DDoS) par divers acteurs de la menace [1, 2].
De plus, le réseau est actuellement utilisé pour prendre en charge divers types d’activités malveillantes allant de la dissimulation du trafic de logiciels malveillants au bourrage d’informations d’identification et au phishing.
Pour le moment, le service Ngioweb et NSOCKS [. net] sont gravement perturbés car Lumen a identifié l’architecture et le trafic du botnet. Avec des partenaires de l’industrie tels que la Fondation ShadowServer, la société bloque le trafic vers et depuis les nœuds C2 connus associés aux deux réseaux.
Lumen fournit une liste d’indicateurs de compromission qui pourraient aider d’autres entreprises à identifier les robots malveillants et perturber davantage les deux opérations.