De malware bekend als Ngioweb is gebruikt om een beruchte residentiële proxy-service genaamd NSOCKS te voeden, evenals door andere diensten zoals VN5Socks en Shopsocks5, zo blijkt uit nieuwe bevindingen van Lumen Technologies.
“Minstens 80% van de NSOCKS-bots in onze telemetrie is afkomstig van het Ngioweb-botnet, waarbij voornamelijk gebruik wordt gemaakt van routers voor kleine kantoren/thuiskantoren (SOHO) en IoT-apparaten”, aldus het Black Lotus Labs-team van Lumen Technologies in een rapport gedeeld met The Hacker News . ‘Twee derde van deze proxy’s is gevestigd in de VS’
“Het netwerk onderhoudt dagelijks gemiddeld ongeveer 35.000 werkende bots, waarvan 40% een maand of langer actief blijft.”
Ngioweb, voor het eerst gedocumenteerd door Check Point in augustus 2018 in verband met een Ramnit trojan-campagne die de malware verspreidde, is de afgelopen weken het onderwerp geweest van uitgebreide analyses door LevelBlue en Trend Micro, waarvan de laatste de financieel gemotiveerde dreiging volgt. acteur achter de operatie als Water Barghest.
De malware kan zich richten op apparaten waarop zowel Microsoft Windows als Linux draaien en dankt zijn naam aan het command-and-control (C2)-domein dat in 2018 werd geregistreerd onder de naam “ngioweb(.)su.”
Volgens Trend Micro omvat het botnet sinds oktober 2024 meer dan 20.000 IoT-apparaten, waarbij Water Barghest het gebruikt om kwetsbare IoT-apparaten te vinden en te infiltreren met behulp van geautomatiseerde scripts en de Ngioweb-malware in te zetten, door deze als proxy te registreren. De geïnfecteerde bots worden vervolgens te koop aangeboden op een residentiële proxymarktplaats.
“Het proces voor het genereren van inkomsten, vanaf de initiële infectie tot de beschikbaarheid van het apparaat als proxy op een residentiële proxy-marktplaats, kan slechts 10 minuten duren, wat wijst op een zeer efficiënte en geautomatiseerde operatie”, aldus onderzoekers Feike Hacquebord en Fernando Mercês.
Aanvalsketens die de malware gebruiken, maken gebruik van een arsenaal aan kwetsbaarheden en zero-days die het gebruikt om routers en huishoudelijke IoT-apparaten zoals camera’s, stofzuigers en toegangscontroles te doorbreken. Het botnet maakt gebruik van een architectuur met twee niveaus: het eerste is een loadernetwerk bestaande uit 15-20 knooppunten, dat de bot naar een loader-C2-knooppunt stuurt voor het ophalen en uitvoeren van de Ngioweb-malware.
Uit een uitsplitsing van de proxies van de residentiële proxyprovider naar apparaattype blijkt dat de botnetoperators zich hebben gericht op een breed spectrum aan leveranciers, waaronder NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision en NUUO.
Uit de laatste onthullingen van LevelBlue en Lumen blijkt dat de systemen die zijn geïnfecteerd met de Ngioweb-trojan, worden verkocht als residentiële proxyservers voor NSOCKS, die eerder door bedreigingsactoren is gebruikt bij aanvallen op het vullen van inloggegevens gericht op Okta.
“NSOCKS verkoopt toegang tot SOCKS5-proxy’s over de hele wereld, waardoor kopers deze kunnen kiezen op basis van locatie (staat, stad of postcode), ISP, snelheid, type geïnfecteerd apparaat en nieuwheid”, aldus LevelBlue. “De prijzen variëren tussen $0,20 en $1,50 voor 24-uurs toegang en zijn afhankelijk van het apparaattype en de tijd sinds de infectie.”
Het is ook gebleken dat de slachtofferapparaten langdurige verbindingen tot stand brengen met een tweede fase van C2-domeinen die zijn gemaakt door een domeingeneratie-algoritme (DGA). Deze domeinen, die op een bepaald moment ongeveer 15 in aantal bedragen, fungeren als de ‘poortwachter’ en bepalen of de bots de moeite waard zijn om aan het proxynetwerk toe te voegen.
Als de apparaten aan de geschiktheidscriteria voldoen, verbinden de DGA C2-knooppunten ze met een backconnect C2-knooppunt dat ze op hun beurt beschikbaar maakt voor gebruik via de NSOCKS-proxyservice.
“NSOCKS-gebruikers leiden hun verkeer door meer dan 180 ‘backconnect’ C2-knooppunten die dienen als entry/exit-punten die worden gebruikt om hun ware identiteit te verdoezelen of te proxyen”, aldus Lumen Technologies. “De actoren achter deze dienst hebben hun klanten niet alleen een middel geboden om kwaadaardig verkeer te proxyeren, maar de infrastructuur is ook ontworpen om verschillende bedreigingsactoren in staat te stellen hun eigen diensten te creëren.”
Tot overmaat van ramp zijn open proxy’s, aangedreven door NSOCKS, ook naar voren gekomen als een manier voor verschillende actoren om op grote schaal krachtige gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren.
De commerciële markt voor particuliere proxydiensten en de ondergrondse markt voor proxy’s zullen naar verwachting de komende jaren groeien, deels gedreven door de vraag van zowel geavanceerde persistente dreigingsgroepen (APT) als cybercriminele groepen.
“Deze netwerken worden vaak gebruikt door criminelen die exploits vinden of inloggegevens stelen, waardoor ze een naadloze methode krijgen om kwaadaardige tools in te zetten zonder hun locatie of identiteit prijs te geven”, aldus Lumen.
“Wat bijzonder alarmerend is, is de manier waarop een dienst als NSOCKS kan worden gebruikt. Met NSOCKS hebben gebruikers de mogelijkheid om uit 180 verschillende landen te kiezen voor hun eindpunt. Deze mogelijkheid stelt kwaadwillende actoren niet alleen in staat hun activiteiten over de hele wereld te verspreiden, maar maakt het ook mogelijk Ze kunnen zich richten op specifieke entiteiten per domein, zoals .gov of .edu, wat zou kunnen leiden tot meer gerichte en potentieel schadelijkere aanvallen.”