A támadási folyamatra jellemző a jól ismert biztonsági sérülékenységek, valamint a gyenge hitelesítési adatok kihasználása, amellyel a támadó az internetre kapcsolódó eszközök, például IP-kamerákhoz, videórögzítő eszközökhöz, routerekhez és távközlési eszközökhöz szerzett hozzáférést.

A támadó hibásan konfigurált távoli elérésű szolgáltatásokat és adatbázisokat is kihasznál, különös figyelmet fordítva a nagy felhőszolgáltatókhoz – Amazon Web Services, Microsoft Azure és a Google Cloud – köthető IP-címtartományok támadására.

A támadó tevékenység számos, a GitHub-on nyilvánosan elérhető, könnyen felhasználható szkriptre és eszközre támaszkodik, amelyek a Mirai botnet malware-t és más DDoS támadáshoz kapcsolható programokat telepítenek a megtámadott eszközökre és szerverekre. Ezek közé tartozik a PYbot, a pynet, a DiscordGo, Homo Network, egy JavaScript program, amely http/https flood támadást hajt végre, valamint egy eszköz, ami képes a Microsoft Defender Antivirus alkalmazás letiltására a Windows-t futtató gépeken.

A Matrixról az is kiderült, hogy 2023 novemberében saját GitHub-fiókot hozott létre, hogy ott tárolja a támadások során használt DDoS eszközök egy részét.

Úgy tűnik, hogy a szolgáltatást a „Kraken Autobuy” nevű Telegram boton keresztül hirdetik, mint DDoS támadás bérlési szolgáltatás, amely lehetővé teszi az ügyfelek számára, hogy különböző támadási csomagokat válasszanak, amelyekért kriptovalutával fizethetnek.

A támadási módszerek egyszerűsége rámutat az alapvető biztonsági eljárások fontosságára, mint például az alapértelmezett hitelesítési adatok megváltoztatására, a hálózati hozzáférések védelmére és a firmware frissítések telepítésére, hogy megvédjük magunkat az ilyen széles körű és a, a kínálkozó lehetőségeket kihasználó támadásoktól.

Hasonló kibertámadási kampányra derített fényt az NSFOCUS; az XorBot néven ismert, nehezen észrevehető botnet családra, amely 2023 november óta, elsősorban Intelbras kamerákat és Netgear, TP-Link és D-Link routereket célozza.

(forrás, forrás)