Matrix: Il misterioso attore dietro una botnet IoT globale per attacchi DDoS

Gli esperti di Aqua avvertono che un gruppo o una persona con il soprannome di Matrix è associato ad attacchi DDoS su larga scala. Dietro questi attacchi si nasconde una botnet di dispositivi Internet of Things (IoT) che vengono violati attraverso varie vulnerabilità ed errori di configurazione.

“Si tratta di una soluzione completa e universale per la ricerca e lo sfruttamento delle vulnerabilità, la distribuzione di malware e la creazione di kit già pronti. Questo approccio agli attacchi informatici può essere descritto come un approccio “fai da te””, affermano i ricercatori.

Secondo gli esperti, dietro questa attività potrebbe esserci una sola persona e c’è motivo di credere che si tratti di uno script kiddie in lingua russa.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli attacchi di Matrix prendono di mira principalmente indirizzi IP situati in Cina e Giappone, nonché Argentina, Australia, Brasile, Egitto, India e Stati Uniti. A quanto pare gli aggressori sono guidati esclusivamente da motivazioni finanziarie.

Le catene di attacco si basano sullo sfruttamento di vulnerabilità note, nonché sulla forza bruta di credenziali predefinite o non attendibili per ottenere l’accesso a vari dispositivi IoT (tra cui telecamere IP, DVR, router e apparecchiature di telecomunicazione).

Inoltre, secondo quanto riferito, gli aggressori hanno preso di mira server Telnet, SSH e Hadoop configurati in modo errato, con particolare attenzione agli intervalli di indirizzi IP associati ai fornitori di servizi cloud come Amazon Web Services (AWS), Microsoft Azure e Google Cloud.

“È interessante notare che l’aggressore ha utilizzato elenchi speciali di fornitori di servizi cloud, prestando molta attenzione ai loro intervalli IP. Inoltre sono stati attaccati piccoli cloud privati ​​e aziende. Ad esempio, gli obiettivi includevano l’indirizzo IP di Intuit, nonché dispositivi IoT e numerose organizzazioni nella regione Asia-Pacifico, in particolare Cina e Giappone”, afferma il rapporto Aqua.

Allo stesso tempo, l’attività dannosa si basa in gran parte su script e strumenti disponibili gratuitamente ospitati su GitHub.

Alla fine, gli attacchi portano alla distribuzione del malware Mirai e di altri malware per attacchi DDoS su dispositivi e server compromessi. Tra questi: PYbot ,  pynet ,  DiscordGo ,  Homo Network , una soluzione JavaScript che implementa il crowding HTTP/HTTPS, nonché uno strumento per disabilitare la protezione di Microsoft Defender sulle macchine Windows.

I ricercatori hanno concluso che anche l’account GitHub di Matrix, creato nel novembre 2023, contiene una serie di artefatti relativi agli attacchi DDoS.

Si ritiene che la botnet sia pubblicizzata come un servizio di attacco DDoS a noleggio e operi tramite un bot di Telegram che consente ai clienti di scegliere diversi livelli di “abbonamento” per eseguire attacchi (in cambio di un pagamento in criptovaluta).

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.