CODEBY_SEC Telegram 9358
tgoop.com » United States » Codeby » Telegram web » Post 9358
Codeby
🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

Исследователи кибербезопасности обнаружили новую вредоносную программу, которая тайно захватывает контроль над сетевыми роутерами и другими устройствами. Целями атаки становятся популярные модели производителей DrayTek, TP-Link, Raisecom и Cisco.


Кампания, проявляющая активность в течение июля 2025 года, использует старый, но эффективный метод: эксплуатацию уязвимостей в веб-интерфейсах устройств. Злоумышленники отправляют специально сформированные HTTP-запросы на незащищенные роутеры, что позволяет им выполнять произвольные команды без необходимости ввода логина или пароля.

➡️Как работает атака?
Атака начинается с простого HTTP-запроса на уязвимый endpoint (точку входа) веб-интерфейса роутера. Например, на роутерах TP-Link Archer AX21 эксплуатируется параметр country, в который подставляется вредоносная команда.

Эти команды заставляют устройство загрузить и запустить специальный скрипт-загрузчик, уникальный для каждой модели роутера. Этот скрипт, в свою очередь, скачивает из интернета основной вредоносный модуль, который предоставляет злоумышленникам полный удаленный контроль над устройством с правами root.

💫«Gayfemboy»: наследник Mirai, но опаснее
Новый malware, получивший от исследователей название «Gayfemboy», является эволюционным продолжением печально известного ботнета Mirai. Однако, он обладает ключевыми улучшениями в области скрытности и модульности.

Для избежания обнаружения вредоносные файлы маскируются под безобидные и названы в соответствии с архитектурами процессоров: aalel для ARM (AArch) и xale для x86-64. Кроме того, код упакован с помощью модифицированной версии утилиты UPX, что затрудняет его автоматический анализ антивирусными системами.

⤵️Глобальный масштаб
Жертвы зафиксированы в Бразилии, Мексике, США, Германии, Франции, Швейцарии, Израиле и Вьетнаме, а среди пострадавших секторов — производство и медиаиндустрия.

Для доставки payload (полезной нагрузки) злоумышленники используют два протокола: HTTP и более простой TFTP, что гарантирует успех даже в сетях с ограниченным исходящим трафиком. Весь вредоносный трафик исходит из двух ключевых узлов: хост для загрузки (220.158.234.135) и источник атакующих запросов (87.121.84.34).
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍65😁21
www.tgoop.com/codeby_sec/9358
5.3K views



tgoop.com/codeby_sec/9358
Create:
Last Update:

🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

Исследователи кибербезопасности обнаружили новую вредоносную программу, которая тайно захватывает контроль над сетевыми роутерами и другими устройствами. Целями атаки становятся популярные модели производителей DrayTek, TP-Link, Raisecom и Cisco.


Кампания, проявляющая активность в течение июля 2025 года, использует старый, но эффективный метод: эксплуатацию уязвимостей в веб-интерфейсах устройств. Злоумышленники отправляют специально сформированные HTTP-запросы на незащищенные роутеры, что позволяет им выполнять произвольные команды без необходимости ввода логина или пароля.

➡️Как работает атака?
Атака начинается с простого HTTP-запроса на уязвимый endpoint (точку входа) веб-интерфейса роутера. Например, на роутерах TP-Link Archer AX21 эксплуатируется параметр country, в который подставляется вредоносная команда.

Эти команды заставляют устройство загрузить и запустить специальный скрипт-загрузчик, уникальный для каждой модели роутера. Этот скрипт, в свою очередь, скачивает из интернета основной вредоносный модуль, который предоставляет злоумышленникам полный удаленный контроль над устройством с правами root.

💫«Gayfemboy»: наследник Mirai, но опаснее
Новый malware, получивший от исследователей название «Gayfemboy», является эволюционным продолжением печально известного ботнета Mirai. Однако, он обладает ключевыми улучшениями в области скрытности и модульности.

Для избежания обнаружения вредоносные файлы маскируются под безобидные и названы в соответствии с архитектурами процессоров: aalel для ARM (AArch) и xale для x86-64. Кроме того, код упакован с помощью модифицированной версии утилиты UPX, что затрудняет его автоматический анализ антивирусными системами.

⤵️Глобальный масштаб
Жертвы зафиксированы в Бразилии, Мексике, США, Германии, Франции, Швейцарии, Израиле и Вьетнаме, а среди пострадавших секторов — производство и медиаиндустрия.

Для доставки payload (полезной нагрузки) злоумышленники используют два протокола: HTTP и более простой TFTP, что гарантирует успех даже в сетях с ограниченным исходящим трафиком. Весь вредоносный трафик исходит из двух ключевых узлов: хост для загрузки (220.158.234.135) и источник атакующих запросов (87.121.84.34).

BY Codeby




Share with your friend now:
tgoop.com/codeby_sec/9358

View MORE
Open in Telegram


Telegram News

Date: |

Choose quality over quantity. Remember that one high-quality post is better than five short publications of questionable value. Today, we will address Telegram channels and how to use them for maximum benefit. "Doxxing content is forbidden on Telegram and our moderators routinely remove such content from around the world," said a spokesman for the messaging app, Remi Vaughn. Informative How to Create a Private or Public Channel on Telegram?
from us


🐁В интернете зафиксирована масштабная кампания по заражению сетевого оборудования с помощью усовершенствованного стелс-модуля.

 Codeby TG
web: 9358
Codeby.Telegram web
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM American