Ngioweb botnet architektúrája
A Lumen Technologies Black Lotus Labs csapata részletes elemzést tett közzé az NSOCKS botnet működéséről és annak kiberbűnözésben betöltött szerepéről. Az NSOCKS egy széles körben használt bűnözői proxy szolgáltatás, amely naponta átlagosan több mint 35 000 botot üzemeltet 180 országban, és kapcsolatba hozható olyan hírhedt csoportokkal, mint a Muddled Libra.
Az NSOCKS botnet infrastruktúrájának legalább 80%-a az “ngioweb” botnetből származik, amely főként kis irodai/otthoni (SOHO) routereket és IoT eszközöket használ fel. Ezeknek a proxyknak kétharmada az Egyesült Államokban található. A Lumen globális internetes láthatóságának köszönhetően sikerült nyomon követni az aktív és korábbi C2 csomópontokat, amelyek közül néhányat már 2022 közepe óta használnak. Az NSOCKS felhasználók több mint 180 “backconnect” C2 csomóponton keresztül irányítják forgalmukat, hogy elrejtsék valódi identitásukat. Az NSOCKS infrastruktúrája nemcsak a felhasználók számára biztosít lehetőséget a rosszindulatú forgalom proxyzására, hanem lehetővé teszi más fenyegető szereplők számára is, hogy saját szolgáltatásokat hozzanak létre. Ezek a hálózatok többek között erőteljes DDoS támadások indítására is felhasználhatók.
A Lumen Technologies blokkolta az összes forgalmat a globális hálózatán, amely az ngioweb botnet dedikált infrastruktúrájához kapcsolódik. Emellett közzétették a kompromittálódás indikátorait (IoC), hogy mások is azonosíthassák és védekezési intézkedéseket hozhassanak a fenyegetés ellen, ezzel is hozzájárulva a kiberbűnözés elleni küzdelemhez.