{
	"id": "7ad973bf-efe1-4ef1-93ea-7cf9328b472e",
	"created_at": "2026-04-06T00:14:26.525433Z",
	"updated_at": "2026-04-10T03:31:50.100581Z",
	"deleted_at": null,
	"sha1_hash": "dfdb56c82bd016451ac9fba5d6c9d003f0ce6f7a",
	"title": "Schnelle Exploit-to-Market Strategie für IoT Geräte",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 54354,
	"plain_text": "Schnelle Exploit-to-Market Strategie für IoT Geräte\r\nBy By: Feike Hacquebord, Fernando Mercês Nov 26, 2024 Read time: 6 min (1582 words)\r\nPublished: 2024-11-26 · Archived: 2026-04-05 13:50:16 UTC\r\nSoweit uns bekannt ist, hat Water Barghest neben der Beschaffung von IoT-Exploits jeden Schritt zwischen dem\r\nAuffinden anfälliger IoT-Geräte und deren Verkauf auf einem Proxy-Marktplatz automatisiert. Alles beginnt\r\njedoch mit der Beschaffung von Schwachstellen in IoT-Geräten: Oftmals handelt es sich dabei um n-Days, aber in\r\nmindestens einem Fall hat die Gruppe einen Zero-Day genutzt. Mit einer Liste von Schwachstellen an der Hand\r\nnutzt der Akteur Suchanfragen in einer öffentlich zugänglichen Internet-Scan-Datenbank wie Shodan, um\r\nanfällige Geräte und ihre IP-Adressen zu finden.\r\nDanach wird eine Reihe von IP-Adressen von Rechenzentren mit einer oft langen Lebensdauer eingesetzt, um die\r\nExploits an potenziell gefährdeten IoT-Geräten auszuprobieren. Wenn ein Exploit erfolgreich ist, laden die\r\nkompromittierten IoT-Geräte ein Skript herunter, das Ngioweb-Malware-Samples durchgeht, die für verschiedene\r\nLinux-Architekturen kompiliert wurden. Wenn eines der Samples problemlos läuft, wird die Malware Ngioweb im\r\nSpeicher des IoT-Geräts des Opfers ausgeführt.\r\nDamit ist die Infektion nicht persistent, ein Neustart würde sie entfernen. Wenn Ngioweb ausgeführt wird,\r\nregistriert es sich bei einem Command-and-Control-Server (C\u0026C) und erhält häufig innerhalb weniger Minuten\r\ndie Anweisung, eine Verbindung zu einem der 150 Zugangspunkte des privaten Proxy-Anbieters herzustellen. Es\r\nfolgen ein Geschwindigkeitstest und ein Test des Name Servers. Die Informationen werden an den Marktplatz\r\ngesendet und dort aufgelistet. Die gesamte Prozedur von der ersten Infektion bis zur Bereitstellung des Bots als\r\nProxy auf dem Marktplatz kann nicht länger als 10 Minuten dauern. Dies zeigt einmal mehr die Professionalität\r\nund Reife dieses Bedrohungsakteurs, der bereits seit mehr als fünf Jahren aktiv ist.\r\nDerzeit setzt Water Barghest etwa 17 Mitarbeiter auf virtuellen privaten Servern (VPS) ein, die kontinuierlich\r\nRouter und IoT-Geräte auf bekannte Schwachstellen überprüfen. Sie laden auch Ngioweb-Malware auf frisch\r\nkompromittierte IoT-Geräte hoch. Water Barghest arbeitet wahrscheinlich schon seit Jahren auf diese Weise,\r\nwobei sich die IP-Adressen der Arbeiter im Laufe der Zeit langsam ändern. Auf diese Weise konnte Water\r\nBarghest über Jahre hinweg ein regelmäßiges Einkommen erzielen.\r\nEntwicklung der Ngioweb-Malware\r\n2018: Ramnit-betriebenes Windows-Botnet\r\nDer Ngioweb-Malware-Stamm geht auf das Jahr 2018 zurück, als Check Point Research aufdeckte, dass er durch\r\neinen Ramnit-Trojaner verbreitet wurde. Damals zielte Ngioweb auf Computer mit Microsoft Windows ab. Die\r\nMalware war bereits darauf ausgelegt, einen infizierten Computer in einen bösartigen Proxy Server zu\r\nverwandeln. Einige Samples reichen sogar bis 2017 zurück, aber die C\u0026C-Domain, die der Malware ihren Namen\r\ngibt, wurde 2018 registriert.\r\n2019: WordPress Server-Botnet\r\nhttps://www.trendmicro.com/de_de/research/24/k/water-barghest.html\r\nPage 1 of 3\n\n2019 entdeckten Netlab-Forscher die Linux-Variante von Ngioweb. Die Malware funktionierte ähnlich wie ihre\r\nfrühere Windows-Version, hatte aber zusätzliche Funktionen für den Domain Generation Algorithm (DGA). Laut\r\nNetlab bestand das Botnet hauptsächlich aus Webservern, auf denen WordPress installiert war, was darauf\r\nhindeutet, dass der Bedrohungsakteur eine WordPress-Schwachstelle - oder ein WordPress-Plugin - ausnutzen\r\nkönnte.\r\n2020: IoT-Geräte-Botnet\r\n2020 wendete sich Water Barghest IoT-Geräten zu. Wir fanden Ngioweb-Samples, die für viele verschiedene\r\nArchitekturen kompiliert wurden. Außerdem veröffentlichte Netlab einen Blogeintrag und Intezer einen Beitrag\r\nauf X über ein aktives Ngioweb-Botnet. Laut Netlab nutzte der Angreifer neun verschiedene n-Day-Schwachstellen in IoT-Geräten aus, darunter NAS-Geräte von QNAP und Netgear, aber auch Geräte von D-Link\r\nund anderen.\r\n2024: Erweitertes Zielspektrum\r\n2024 erreichte das von Water Barghest geschaffene IoT-Botnet die volle Potenz. Die Prozesse, die wir in einer\r\nReihe von EdgeRouter-Geräten fanden, entpuppten sich als eine neue Version von Ngioweb. Sie funktioniert sehr\r\nähnlich wie ihre Vorgängerversionen.\r\nEinzelheiten zum Ablauf liefert der Originalbeitrag.\r\nMarktplatz für Proxy-Server\r\nUnserer Einschätzung nach gehört ein erheblicher Teil der Exit Nodes, die ein bestimmter Marktplatz für Proxy-Server zur Miete anbietet, zu Geräten, die mit Ngioweb-Malware infiziert sind. In einigen Fällen konnten wir\r\nnachweisen, dass eine frische Ngioweb-Infektion dazu führte, dass die entsprechende IP-Adresse innerhalb\r\nweniger Minuten nach der Erstinfektion auf der Website des Marktplatzes angeboten wurde. Der Anbieter von\r\nProxy-Servern für Privatanwender akzeptiert nur Zahlungen in Kryptowährung.\r\nAusblick und Schlussfolgerungen\r\nSeit Jahren gab es mittelgroße Proxy-Botnets, ohne dass sie gestoppt oder öffentlich gemacht wurden. Beispiele\r\nhierfür sind die Botnets, die wir mit den Water Barghest- und Water Zmeu Intrusion-Sets in Verbindung bringen.\r\nDie Gruppen hinter diesen Intrusion-Sets haben ihren Betrieb im Laufe der Jahre verfeinert und ihre Abläufe in\r\nhohem Maße automatisiert.\r\nAPT-Akteure nutzten ihre dedizierten IoT-Botnets manchmal jahrelang, bevor sie vom FBI und seinen Partnern\r\naußer Gefecht gesetzt wurden. APT-Akteure und finanziell motivierte Akteure werden weiterhin ein Interesse\r\ndaran haben, ihre eigenen IoT-Botnets für Anonymisierungszwecke und Spionage aufzubauen werden auch\r\nweiterhin Botnets von Drittanbietern oder kommerziell erhältliche Proxy-Dienste heranziehen.\r\nWir gehen davon aus, dass sowohl der kommerzielle Markt für Proxy-Dienste als auch der Untergrundmarkt für\r\nProxys in den kommenden Jahren wachsen werden, da die Nachfrage hoch ist. Der Schutz vor diesen\r\nAnonymisierungsschichten stellt für viele Unternehmen und Regierungsorganisationen auf der ganzen Welt eine\r\nhttps://www.trendmicro.com/de_de/research/24/k/water-barghest.html\r\nPage 2 of 3\n\nHerausforderung dar. Gerichtlich genehmigte Schließungen von Proxy-Botnets werden zwar dazu beitragen,\r\nböswillige Aktivitäten einzudämmen, aber die Sicherung von IoT-Geräten ist dennoch von größter Bedeutung.\r\nWenn ein IoT-Gerät ankommende Verbindungen über das offene Internet akzeptiert, werden diese Devices von\r\nkommerziellen Scandiensten schnell online gefunden, und auch böswillige Akteure können sie über gekaufte oder\r\ngestohlene Zugänge zu diesen Internet-Scandiensten finden. Mithilfe von Scandaten können die automatisierten\r\nSkripte von böswilligen Akteuren bekannte Schwachstellen und möglicherweise sogar Zero-Day-Angriffe auf die\r\nexponierten IoT-Geräte leicht ausprobieren.  Daher ist es wichtig, für IoT-Geräte eingehende Internetverbindungen\r\nzu unterbinden, wenn dies nicht geschäftskritisch ist, und Maßnahmen zu ergreifen, um zu verhindern, dass ihre\r\nInfrastruktur selbst Teil des Problems wird.\r\nSource: https://www.trendmicro.com/de_de/research/24/k/water-barghest.html\r\nhttps://www.trendmicro.com/de_de/research/24/k/water-barghest.html\r\nPage 3 of 3",
	"extraction_quality": 1,
	"language": "DE",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.trendmicro.com/de_de/research/24/k/water-barghest.html"
	],
	"report_names": [
		"water-barghest.html"
	],
	"threat_actors": [
		{
			"id": "a52a8c65-f0f5-4f89-b8cd-d963c8f5e9d0",
			"created_at": "2024-11-20T02:00:03.669397Z",
			"updated_at": "2026-04-10T02:00:03.778091Z",
			"deleted_at": null,
			"main_name": "Water Barghest",
			"aliases": [],
			"source_name": "MISPGALAXY:Water Barghest",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775434466,
	"ts_updated_at": 1775791910,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/dfdb56c82bd016451ac9fba5d6c9d003f0ce6f7a.pdf",
		"text": "https://archive.orkl.eu/dfdb56c82bd016451ac9fba5d6c9d003f0ce6f7a.txt",
		"img": "https://archive.orkl.eu/dfdb56c82bd016451ac9fba5d6c9d003f0ce6f7a.jpg"
	}
}