🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и путь к реальным скиллам.

Киберпреступники продолжают прокачивать бизнес-модель: если раньше заражённые устройства молотили в криптомайнерах или шли пушечным мясом для DDoS, то теперь из них делают прокси-сервисы, IoT-бэкдор-хостинги и «пассивный доход без вложений».

GeoServer и «легальный» пассивный доход

Первый кейс — эксплуатация RCE-баги CVE-2024-36401 в GeoServer GeoTools. Взломанные инстансы используют, чтобы ставить бинарники на Dart, которые выглядят как SDK для честных приложений. На деле — тихо жрут ваш интернет-канал и гоняют трафик для «резидентских прокси». Пользователь не замечает, CPU не греется, а злоумышленник копит свой криптокэш. По сути — это Uber, но для ворованной полосы пропускания.

В дикой природе светятся 7,100+ GeoServer-инстансов в 99 странах, больше всего в Китае, США и Германии.

PolarEdge: IoT превращается в ORB

Другой проект — ботнет PolarEdge, в котором уже около 40,000 устройств: от роутеров и IP-камер до VoIP-трубок и корпоративных фаерволов. Заражённые девайсы работают как Operational Relay Box: не ломаются и не падают, а тихо прокидывают трафик за атакующих. Легальный функционал работает, хозяин доволен, а в фоне его железка — прокси для чужого взлома.

Gayfemboy: Mirai с редизайном

Если вам не хватало странных названий — знакомьтесь, gayfemboy, новый вариант Mirai. Работает по всему миру: Бразилия, США, Израиль, Германия и даже Вьетнам. Бьёт по ARM, MIPS, PowerPC и старичку Intel 80386.
Модули стандартные, но с «фишками»:

  • Monitor — следит за процессами и избегает песочниц.

  • Watchdog — пытается в UDP-биндинг.

  • Attacker — классический DDoS и бэкдор на удалённый сервер.

  • Killer — самоубийство при попытке анализа.

По словам исследователей, это Mirai 2.0 — сложнее, гибче и хитрее.

Redis снова в деле

Параллельно группа TA-NATALSTATUS устроила криптодобычу на Redis. Сканируют открытые 6379-порты, кидают конфиг-команды и запускают cron-скрипт. Скрипт отключает SELinux, убивает конкурентов (привет, Kinsing), ставит masscan и pnscan для поиска новых жертв и запускает XMRig.

Чтобы админы ничего не заметили, хитро подменяют системные бинарники: ps и top на поддельные версии, а curl и wget переименовывают в «cd1» и «wd1». Админ смотрит — всё чисто. На деле же его сервер в поте лица крутит Monero.

Современные кибербанды больше не ставят ставку только на грубую силу. Они строят «тихие» бизнес-модели: пассивные прокси, ORB-сети, скрытые криптомайнеры. В итоге заражённые устройства не глючат и не падают, а просто молча работают на чужой стартап.

Берегите себя и свои нервы.

📘 Понравилась статья?

Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.

Зарегистрироваться Подписаться в Telegram
← Назад к статьям

Рекомендуемые статьи

Обложка

Хакеры в видеоиграх: миф, стиль и путь к настоящему хакингу

Читать полностью →
Обложка

SQLMap

Читать полностью →
Обложка

Киберпреступность как поп-культура: хакеры в кино и видеоиграх

Читать полностью →