НАЗАД К НОВОСТЯМ
ИсследованияНизкий

Ботнет Kimwolf заразил более 2 млн устройств и проник в корпоративные и государственные сети

4 мин чтенияИсточник: Krebs on Security
Diagram of Kimwolf botnet infection flow through residential proxies and corporate networks

Ботнет Kimwolf, эксплуатирующий уязвимости IoT, заразил свыше 2 млн устройств, включая сети предприятий и госструктур. Узнайте, как он действует и как защититься.

Ботнет Kimwolf использует резидентные прокси для проникновения в корпоративные сети

Недавно выявленный ботнет для устройств интернета вещей (IoT), получивший название Kimwolf, скомпрометировал более 2 миллионов устройств по всему миру, вовлекая заражённые системы в распределённые атаки типа «отказ в обслуживании» (DDoS) и ретрансляцию вредоносного трафика. Исследования показывают тревожную распространённость ботнета в корпоративных и государственных сетях, где он использует сканирование локальных сетей для дальнейшего распространения.

Kimwolf появился в конце 2025 года, быстро расширяясь за счёт захвата резидентных прокси-сервисов, в частности IPIDEA — китайского провайдера с миллионами прокси-узлов. Злоумышленники эксплуатировали эти прокси для передачи вредоносных команд устройствам в локальных сетях, систематически сканируя и заражая уязвимые IoT-устройства.

Технический анализ: как действует Kimwolf

  1. Начальный вектор заражения

    • Kimwolf в первую очередь атакует неофициальные Android TV-приставки, которые часто поставляются с предустановленным ПО резидентных прокси и не имеют должных мер безопасности.
    • Эти устройства основаны на Android Open Source Project (AOSP), а не на Android TV OS, и продвигаются для просмотра пиратского контента, нередко включая прокси-малварь.
    • После компрометации Kimwolf заставляет устройства ретранслировать вредоносный трафик, включая рекламное мошенничество, захват учётных записей и скрейпинг контента.

  2. Латеральное распространение через сканирование локальной сети

    • Ботнет эксплуатирует резидентные прокси-узлы (например, IPIDEA) для зондирования внутренних сетей в поисках дополнительных уязвимых устройств.
    • Компания Infoblox сообщила, что почти 25% её корпоративных клиентов обращались к домену, связанному с Kimwolf, с октября 2025 года, что свидетельствует о попытках сканирования — хотя не все из них привели к успешному заражению.
    • Стартап Synthient, отслеживающий прокси-активность, выявил 33 000 затронутых IP-адресов в университетских сетях и 8 000 — в государственных, включая ведомства США и других стран.

  3. Прокси-сервисы как вектор атаки

    • Резидентные прокси, продаваемые для анонимизации веб-трафика, часто поставляются в комплекте с вредоносными приложениями или играми, превращая заражённые устройства в невольных ретрансляторов трафика.
    • Компания Spur, также занимающаяся мониторингом прокси, обнаружила прокси, связанные с Kimwolf, в:
      • 298 государственных сетях (включая системы Министерства обороны США)
      • 318 компаниях коммунального сектора
      • 166 медицинских организациях
      • 141 финансовом учреждении
    • Злоумышленники могут переходить с одного заражённого устройства на другие системы в той же сети, получая опорную точку в корпоративной среде.

Последствия и риски

  • Усиление DDoS-атак и вредоносного трафика: Масштабы Kimwolf позволяют проводить масштабные DDoS-атаки, нарушая работу сервисов и инфраструктуры.
  • Проникновение в корпоративные и государственные сети: Присутствие ботнета в сетях предприятий вызывает опасения по поводу утечки данных, шпионажа и дальнейшего латерального распространения.
  • Уязвимости цепочки поставок: Незащищённые Android TV-приставки с предустановленной прокси-малварью подчёркивают риски, связанные с потребительскими IoT-устройствами, попадающими в корпоративную среду.
  • Злоупотребление прокси для киберпреступлений: Резидентные прокси остаются привлекательным инструментом для киберпреступников, позволяя проводить анонимизированные атаки и мошенничество.

Меры защиты и рекомендации

Командам ИБ следует предпринять следующие шаги для обнаружения и нейтрализации заражений Kimwolf:

  1. Мониторинг сети и фильтрация DNS

    • Блокируйте известные домены, связанные с Kimwolf, и IP-адреса резидентных прокси (например, узлы IPIDEA).
    • Отслеживайте необычный исходящий трафик с IoT-устройств, особенно Android TV-приставок.

  2. Усиление защиты устройств

    • Отключите или удалите неофициальные Android TV-приставки из корпоративных сетей.
    • Убедитесь, что все IoT-устройства обновлены, сегментированы и проходят аутентификацию перед получением доступа к сети.

  3. Аудит прокси-сервисов

    • Проверяйте устройства сотрудников (ноутбуки, телефоны) на наличие несанкционированного прокси-ПО, которое могло быть установлено через вредоносные приложения.
    • Ограничьте трафик резидентных прокси на уровне файрвола.

  4. Обмен данными о киберугрозах

    • Используйте отчёты Infoblox, Synthient и Spur для выявления и блокировки инфраструктуры, связанной с Kimwolf.

  5. Планирование реагирования на инциденты

    • При обнаружении заражения Kimwolf предполагайте латеральное распространение и немедленно изолируйте затронутые сегменты.

Заключение

Kimwolf представляет собой значительную эволюцию в развитии IoT-ботнетов, используя резидентные прокси для скрытого проникновения в корпоративные и государственные сети. Его способность сканировать и компрометировать локальные устройства делает его постоянной угрозой, особенно в средах с незащищёнными IoT-развёртываниями. Организациям необходимо усилить мониторинг, сегментацию и контроль прокси, чтобы снизить риски от этого и подобных ботнетов.

Дополнительные материалы:

Поделиться

TwitterLinkedIn