Een bedreigingsacteur genaamd Matrix is in verband gebracht met een wijdverbreide gedistribueerde Denial-of-Service (DoD)-campagne die gebruik maakt van kwetsbaarheden en misconfiguraties in Internet of Things (IoT)-apparaten om ze in een disruptief botnet te coöpteren.
“Deze operatie dient als een allesomvattende one-stop-shop voor scannen, het exploiteren van kwetsbaarheden, het inzetten van malware en het opzetten van shopkits, waarmee een doe-het-zelf-aanpak van cyberaanvallen wordt getoond”, zegt Assaf Morag, directeur Threat Intelligence bij Cloud Security. firma Aqua, zei.
Er zijn aanwijzingen dat de operatie het werk is van een eenzame wolf-acteur, een scriptkiddie van Russische afkomst. De aanvallen waren voornamelijk gericht op IP-adressen in China, Japan en, in mindere mate, Argentinië, Australië, Brazilië, Egypte, India en de VS.
De afwezigheid van Oekraïne in de slachtofferrol geeft aan dat de aanvallers puur gedreven worden door financiële motieven, aldus het cloudbeveiligingsbedrijf.
De aanvalsketens worden gekenmerkt door het misbruiken van bekende beveiligingsfouten en standaard- of zwakke inloggegevens om toegang te krijgen tot een breed spectrum aan op internet aangesloten apparaten, zoals IP-camera’s, DVR’s, routers en telecomapparatuur.
Er is ook waargenomen dat de bedreigingsacteur misbruik maakt van verkeerd geconfigureerde Telnet-, SSH- en Hadoop-servers, met een bijzondere focus op het targeten van IP-adresbereiken die verband houden met cloudserviceproviders (CSP’s) zoals Amazon Web Services (AWS), Microsoft Azure en Google Cloud.
De kwaadaardige activiteit is verder afhankelijk van een breed scala aan openbaar beschikbare scripts en tools die beschikbaar zijn op GitHub, waardoor uiteindelijk de Mirai-botnet-malware en andere DDoS-gerelateerde programma’s op aangetaste apparaten en servers worden ingezet.
Dit omvat PYbot, pynet, DiscordGo, Homo Network, een JavaScript-programma dat een HTTP/HTTPS-flood-aanval implementeert, en een tool die de Microsoft Defender Antivirus-app op Windows-machines kan uitschakelen.
Er is ook ontdekt dat Matrix een eigen GitHub-account gebruikt dat ze in november 2023 hebben geopend om enkele van de DDoS-artefacten te organiseren die in de campagne worden gebruikt.
Er wordt ook aangenomen dat het hele aanbod wordt geadverteerd als een DDoS-te-huur-service via een Telegram-bot genaamd “Kraken Autobuy”, waarmee klanten kunnen kiezen uit verschillende niveaus in ruil voor een cryptocurrency-betaling om de aanvallen uit te voeren.
“Deze campagne, hoewel niet erg geavanceerd, laat zien hoe toegankelijke tools en technische basiskennis individuen in staat kunnen stellen een brede, veelzijdige aanval uit te voeren op talloze kwetsbaarheden en misconfiguraties in op het netwerk aangesloten apparaten”, aldus Morag.
“De eenvoud van deze methoden benadrukt het belang van het aanpakken van fundamentele beveiligingspraktijken, zoals het wijzigen van standaardreferenties, het beveiligen van administratieve protocollen en het toepassen van tijdige firmware-updates, om te beschermen tegen brede, opportunistische aanvallen zoals deze.”
De onthulling komt op het moment dat NSFOCUS licht werpt op een ontwijkende botnetfamilie genaamd XorBot, die zich sinds november 2023 voornamelijk richt op Intelbras-camera’s en routers van NETGEAR, TP-Link en D-Link.
“Naarmate het aantal apparaten dat door dit botnet wordt beheerd toeneemt, zijn de operators erachter ook actief begonnen met winstgevende activiteiten, waarbij ze openlijk reclame maken voor verhuurdiensten voor DDoS-aanvallen”, aldus het cyberbeveiligingsbedrijf, eraan toevoegend dat het botnet wordt geadverteerd onder de naam Masjesu.
“Tegelijkertijd hebben ze, door het gebruik van geavanceerde technische middelen, zoals het invoegen van redundante code en het versluieren van voorbeeldhandtekeningen, de defensieve mogelijkheden op bestandsniveau verbeterd, waardoor hun aanvalsgedrag moeilijker te monitoren en te identificeren is.”