Федеральные агентства США и других стран призывают пользователей
обратить внимание на риски использования маршрутизаторов Ubiquiti EdgeRouter. Заявление ведомств следует за разгромом ботнета MooBot, состоящего из зараженных роутеров.
Ботнет MooBot, по данным ведомств, использовался группировкой APT28 для проведения тайных киберопераций и распространения специализированного вредоносного ПО. Активность APT28 отмечается с 2007 года.
APT28 применяла взломанные роутеры EdgeRouter по всему миру для сбора учетных данных, перенаправления трафика и создания фишинговых страниц. Атаки, начатые в 2022 году, затронули множество секторов критической инфраструктуры в ряде стран, включая Чехию, Италию и США.
В числе методов MooBot – взломы роутеров с легкими паролями для установки троянских программ на основе OpenSSH. Получив доступ, APT28 использовала bash-скрипты и ELF-бинарные файлы для кражи данных и проведения фишинга. Также группировка эксплуатировала критическую уязвимость Microsoft Outlook CVE-2023-23397
(рейтинг CVSS: 9.8), позволяющую красть NTLM-хэши и осуществлять атаки без взаимодействия с пользователем.
В арсенале APT28 обнаружен MASEPIE – Python-бэкдор, позволяющий выполнять команды на компьютерах жертв, используя зараженные роутеры Ubiquiti в качестве инфраструктуры управления и контроля (Command and Control,
Источник: SecurityLab