Новости Роутеры ASUS и Ruckus взламывают уже несколько лет. Хакеры превращают устройства в щит для чужих атак

NewsMaker

I'm just a script
Премиум
28,183
46
8 Ноя 2022
Обнаружена новая версия вредоносной программы LONGLEASH, используемой для атак на сетевые маршрутизаторы.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
i3d7fn3obtsl9xs2eujq2qjpzik58sfu.jpg

Специалисты Cisco Talos раскрыли новые детали о группе UAT-7810, которая развивает сеть LapDogs ORB и заражает маршрутизаторы, чтобы другие связанные с Китаем группировки могли скрывать через них собственные операции.

По оценке Talos, UAT-7810 не просто взламывает отдельные устройства, а строит инфраструктуру, чтобы затем атаковать ценные цели. Такая схема позволяет использовать заражённые маршрутизаторы как промежуточные узлы, через которые проходит вредоносный трафик. В результате настоящие источники атак сложнее отследить, а обычные сетевые устройства становятся частью чужой инфраструктуры.

Группа продолжает дорабатывать собственные инструменты. Talos обнаружила новую версию ранее известной вредоносной программы SHORTLEASH и отслеживает её как LONGLEASH. Новый вариант научился лучше проксировать трафик, создавать сетевые туннели, работать с зашифрованными соединениями и передавать команды между узлами. LONGLEASH также может выступать промежуточным управляющим сервером, получая данные от основного центра управления и пересылая их другим заражённым устройствам.

В арсенале UAT-7810 нашли ещё две ранее неизвестные вредоносные программы. DOGLEASH представляет собой скрытый вход для устройств на Linux и позволяет выполнять команды, читать файлы, делать резервные копии и запускать код прямо в памяти. JARLEASH написана на Java и умеет управлять файлами, запускать FTP- и SFTP-серверы, а также обеспечивать удалённый доступ через сетевые инструменты. В конфигурации JARLEASH специалисты нашли комментарии на упрощённом китайском языке.

Основной целью группы остаются не обновлённые сетевые устройства. Talos связывает UAT-7810 с тем, что группа эксплуатирует известные уязвимости в беспроводных маршрутизаторах Ruckus , включая CVE-2020-22653 (9.8 Critical), CVE-2020-22658 (9.8 Critical) и CVE-2023-25717 (10 Critical). Один из обнаруженных адресов также использовали в начале 2026 года при атаках на маршрутизаторы ASUS AiCloud через CVE-2025-2492 (9.7 Critical), что может указывать на попытку расширить сеть заражённых узлов.

Talos выявила четыре новых сервера, с которых злоумышленники распространяли вредоносные файлы для разных аппаратных платформ, включая MIPS, ARM и x64. На скомпрометированных устройствах запускались сценарии, которые загружали DOGLEASH и открывали нужный порт для входящих соединений. Отдельный тестовый файл LEASHTEST помогал проверять базовые функции на устройствах с процессорами MIPS – это показывает, что инструменты продолжают настраивать под встроенные системы.

Talos с высокой степенью уверенности связывает UAT-7810 с китайским направлением, но отделяет группу от UAT-5918. По данным компании, UAT-7810, вероятно, отвечает за то, что создаёт инфраструктуру, а связанные группировки уже используют подготовленные узлы, чтобы проводить собственные атаки.
 
Источник новости
www.securitylab.ru

Похожие темы