Malware yang dikenal sebagai Ngioweb telah digunakan untuk memicu layanan proxy perumahan terkenal yang disebut NSOCKS, serta oleh layanan lain seperti VN5Socks dan Shopsocks5, demikian temuan baru dari Lumen Technologies.
“Setidaknya 80% bot NSOCKS di telemetri kami berasal dari botnet Ngioweb, sebagian besar menggunakan router kantor kecil/kantor rumah (SOHO) dan perangkat IoT,” kata tim Black Lotus Labs di Lumen Technologies dalam laporan yang dibagikan kepada The Hacker News . “Dua pertiga dari proxy ini berbasis di AS”
“Jaringan ini mempertahankan rata-rata harian sekitar 35.000 bot yang berfungsi, dengan 40% tetap aktif selama satu bulan atau lebih.”
Ngioweb, pertama kali didokumentasikan oleh Check Point pada bulan Agustus 2018 sehubungan dengan kampanye trojan Ramnit yang mendistribusikan malware tersebut, telah menjadi subjek analisis ekstensif dalam beberapa minggu terakhir oleh LevelBlue dan Trend Micro, yang terakhir melacak ancaman bermotif finansial. aktor di balik operasi sebagai Water Barghest.
Mampu menargetkan perangkat yang menjalankan Microsoft Windows dan Linux, malware ini mendapatkan namanya dari domain command-and-control (C2) yang didaftarkan pada tahun 2018 dengan nama “ngioweb[.]su.”
Menurut Trend Micro, botnet tersebut mencakup lebih dari 20.000 perangkat IoT pada Oktober 2024, dan Water Barghest menggunakannya untuk menemukan dan menyusup ke perangkat IoT yang rentan menggunakan skrip otomatis dan menyebarkan malware Ngioweb, lalu mendaftarkannya sebagai proxy. Bot yang terinfeksi kemudian didaftarkan untuk dijual di pasar proxy perumahan.
“Proses monetisasi, mulai dari infeksi awal hingga ketersediaan perangkat sebagai proxy di pasar proxy perumahan, dapat memakan waktu hanya 10 menit, yang menunjukkan operasi yang sangat efisien dan otomatis,” kata peneliti Feike Hacquebord dan Fernando Mercês.
Rantai serangan yang menggunakan malware ini memanfaatkan segudang kerentanan dan zero-day yang digunakannya untuk menembus router dan perangkat IoT rumah tangga seperti kamera, penyedot debu, dan kontrol akses, dan lain-lain. Botnet menggunakan arsitektur dua tingkat: Yang pertama adalah jaringan loader yang terdiri dari 15-20 node, yang mengarahkan bot ke node loader-C2 untuk pengambilan dan eksekusi malware Ngioweb.
Perincian proxy penyedia proxy perumahan berdasarkan jenis perangkat menunjukkan bahwa operator botnet telah menargetkan vendor dengan spektrum luas, termasuk NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision, dan NUUO.
Pengungkapan terbaru dari LevelBlue dan Lumen mengungkapkan bahwa sistem yang terinfeksi trojan Ngioweb dijual sebagai server proxy perumahan untuk NSOCKS, yang sebelumnya telah digunakan oleh pelaku ancaman dalam serangan pengisian kredensial yang ditujukan pada Okta.
“NSOCKS menjual akses ke proxy SOCKS5 di seluruh dunia, memungkinkan pembeli memilihnya berdasarkan lokasi (negara bagian, kota, atau kode pos), ISP, kecepatan, jenis perangkat yang terinfeksi, dan kebaruan,” kata LevelBlue. “Harganya bervariasi antara $0,20 hingga $1,50 untuk akses 24 jam dan bergantung pada jenis perangkat dan waktu sejak infeksi.”
Perangkat korban juga ditemukan menjalin koneksi jangka panjang dengan domain C2 tahap kedua yang dibuat oleh algoritma pembuatan domain (DGA). Domain-domain ini, yang jumlahnya sekitar 15 pada suatu waktu tertentu, bertindak sebagai “penjaga gerbang”, yang menentukan apakah bot layak ditambahkan ke jaringan proxy.
Jika perangkat memenuhi kriteria kelayakan, node DGA C2 menghubungkannya ke node C2 backconnect yang, pada gilirannya, membuat perangkat tersedia untuk digunakan melalui layanan proksi NSOCKS.
“Pengguna NSOCKS merutekan lalu lintas mereka melalui lebih dari 180 node C2 'koneksi balik' yang berfungsi sebagai titik masuk/keluar yang digunakan untuk mengaburkan, atau memproksi, identitas asli mereka,” kata Lumen Technologies. “Para pelaku di balik layanan ini tidak hanya menyediakan sarana bagi pelanggan mereka untuk memproksi lalu lintas berbahaya, namun infrastrukturnya juga telah dirancang untuk memungkinkan berbagai pelaku ancaman membuat layanan mereka sendiri.”
Lebih buruk lagi, proxy terbuka yang didukung oleh NSOCKS juga muncul sebagai jalan bagi berbagai aktor untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi yang kuat dalam skala besar.
Pasar komersial untuk layanan proxy residensial dan pasar proxy bawah tanah diperkirakan akan tumbuh di tahun-tahun mendatang, sebagian didorong oleh permintaan dari kelompok ancaman persisten tingkat lanjut (APT) dan kelompok penjahat dunia maya.
“Jaringan ini sering dimanfaatkan oleh para penjahat yang menemukan eksploitasi atau mencuri kredensial, memberikan mereka metode yang mulus untuk menyebarkan alat jahat tanpa mengungkapkan lokasi atau identitas mereka,” kata Lumen.
“Hal yang sangat mengkhawatirkan adalah cara layanan seperti NSOCKS digunakan. Dengan NSOCKS, pengguna memiliki opsi untuk memilih dari 180 negara berbeda sebagai titik akhir mereka. Kemampuan ini tidak hanya memungkinkan pelaku jahat menyebarkan aktivitas mereka ke seluruh dunia tetapi juga memungkinkan mereka menargetkan entitas tertentu berdasarkan domain, seperti .gov atau .edu, yang dapat menyebabkan serangan lebih terfokus dan berpotensi lebih merusak.”