Ваш роутер стал работать хуже? Проверьте — миллионы устройств уже добывают криптовалюту для хакеров

Исследователи CloudSEK сообщили о масштабной кампании с использованием ботнета формата Loader-as-a-Service, который за последние полгода превратил домашние роутеры и IoT-устройства в фермы для майнинга и Mirai-подобных атак. Анализ утекших логов командных серверов позволил проследить полную цепочку атак — от взлома админ-панелей до установки многоархитектурных бинарников и дальнейшего использования скомпрометированных устройств.

Злоумышленники используют комбинацию методов: подстановку неподготовленных параметров POST (в полях ntp, syslog, hostname), перебор дефолтных паролей и эксплуатацию уязвимостей в корпоративных и CMS-системах. Среди целей оказались Oracle WebLogic, WordPress и vBulletin, для которых применялись известные баги, включая CVE-2019-17574, CVE-2019-16759 и CVE-2012-1823. В корпоративном сегменте фиксировались попытки эксплуатации десериализации WebLogic, Struts2 OGNL-инъекций и JNDI-эксплойтов.

По данным CloudSEK, в июле и августе 2025 года интенсивность атак выросла на 230%. На заражённые устройства загружались мультиархитектурные исполняемые файлы семейства «Morte» и майнеры JSON-RPC, а также боты с функционалом Mirai. В дальнейшем их ресурсы использовались для DDoS-кампаний, скрытого майнинга и перепродажи доступа.

Экспозиция логов командных панелей показала системный подход операторов. Блоки [ReplyPageLogin] фиксировали перебор учётных данных, [ConfigSystemCommand] и [SystemCommand] содержали команды для скачивания дропперов через wget, busybox и TFTP/FTP-цепочки. Метки [ReplyErrorPage] и [ReplySuccessPage] помогали отслеживать успешное выполнение или ошибки, а [ReplyDeviceInfo] собирал информацию о прошивке, MAC-адресах и доступных сервисах. Это позволяло подбирать наиболее подходящий набор полезной нагрузки для каждого устройства.

Расследование показало, что основной фокус атаки был сосредоточен на SOHO-роутерах с уязвимыми интерфейсами вроде wlwps.htm и wan_dyna.html, а также на встраиваемых Linux-системах, куда загружались бинарные сборки morte.x86 и morte.x86_64. Дополнительный риск создаёт использование протоколов HTTP, FTP и TFTP для доставки полезной нагрузки, что делает ботнет устойчивым и гибким.

Влияние кампании оценивается как многоплановое. Для бизнеса это риск утечки данных, бокового движения по сети и распространения вторичных угроз, включая программы-вымогатели. Для корпоративных маршрутизаторов отмечены угрозы перегрузки каналов, подмены времени через NTP и манипуляции DNS.

Малый бизнес и провайдеры сталкиваются с ситуацией, когда их инфраструктура превращается в трамплин для атак на более крупные цели. В результате организации фиксируют ухудшение производительности сетей, рост нагрузки на команды реагирования и необходимость постоянного мониторинга новых векторов атаки.

CloudSEK советует внедрять многоуровневую защиту: блокировать исходящий трафик HTTP, HTTPS, FTP и TFTP для IoT-сегментов, изолировать устройства с признаками подмены POST-параметров, обновлять прошивки и пароли, отключать удалённое администрирование.

Для SOC и SIEM рекомендуется настраивать правила обнаружения подозрительных запросов, включая использование wget, curl или вызовов через «|sh», а также мониторить аномальные JSON-RPC-соединения. При реагировании необходимо изолировать заражённые устройства, собирать артефакты вроде логов и содержимого /tmp, а при невозможности обновления полностью перепрошивать или заменять оборудование.

Компания прогнозирует дальнейшее развитие этой инфраструктуры с расширением перечня атакуемых устройств и усложнением вредоносных модулей. По их оценке, только системный контроль и оперативная реакция могут снизить риски от этой новой модели сервисного ботнета.