Эксперты компании Aqua предупреждают, группировка или человек под ником Matrix связан с масштабными DDoS-атаками. За этими атаками стоит ботнет из устройств интернета вещей (IoT), которые взламывают через различные уязвимости и неправильные настройки.

По мнению специалистов, за этой активностью вообще может стоять одиночка, и есть основания полагать, что это русскоязычный скрипт-кидди.

Атаки Matrix в основном нацелены на IP-адреса, расположенные в Китае и Японии, а также в Аргентине, Австралии, Бразилии, Египте, Индии и США. Судя по всему, злоумышленники руководствуются исключительно финансовыми мотивами.

Цепочки атак построены на эксплуатации известных уязвимостей, а также брутфорсе дефолтных или ненадежных учетных данных для получения доступа различным IoT-устройствам (включая IP-камеры, DVR, маршрутизаторы и телекоммуникационное оборудование).

Кроме того, сообщается, что злоумышленники атаковали неправильно сконфигурированные серверы Telnet, SSH и Hadoop, причем особое внимание уделялось диапазонам IP-адресов, связанных с поставщиками облачных услуг, такими как Amazon Web Services (AWS), Microsoft Azure и Google Cloud.

При этом вредоносная активность во многом опирается на свободно доступные скрипты и инструменты, размещенные на GitHub.

В конечном итоге атаки приводят к развертыванию на взломанных устройствах и серверах малвари Mirai и других вредоносов для DDoS-атак. Среди них: PYbot, pynet, DiscordGo, Homo Network, jаvascript-решение, реализующее HTTP/HTTPS-флуд, а также инструмент для отключения защиты Microsoft Defender на машинах под управлением Windows.

Исследователи пришли к выводу, что собственный аккаунт Matrix на GitHub, созданный в ноябре 2023 года, так же содержит ряд артефактов, связанных с DDoS-атаками.

Считается, что этот ботнет рекламируется как сервис для DDoS-атак по найму и работает через Telegram-бота, который позволяет клиентам выбирать различные уровни «подписки» для проведения атак (в обмен на оплату криптовалютой).