Raptor Train Botnet
Cybersikkerhedsforskere har identificeret et nyt botnet bestående af kompromitterede small office/home office (SOHO) og Internet of Things (IoT) enheder. Dette botnet menes at være kontrolleret af en kinesisk nationalstatstrusselgruppe kendt som Flax Typhoon, også omtalt som Ethereal Panda eller RedJuliett.
Forskerne navngav botnettet 'Raptor Train'. Den har været aktiv siden mindst maj 2020 og nåede et højdepunkt på 60.000 kompromitterede enheder i juni 2023.
Til dato er over 200.000 enheder, inklusive SOHO-routere, NVR/DVR-systemer, netværkstilsluttede lagringsservere (NAS) og IP-kameraer, blevet kapret af Raptor Train, hvilket gør det til et af de største statssponsorerede IoT-botnets knyttet til Kina .
Indholdsfortegnelse
Eksperter vurderer, at Raptor-toget har påvirket over 200.000 enheder
Botnettets infrastruktur menes at have kompromitteret hundredtusindvis af enheder siden starten. Det fungerer ved hjælp af en tre-lags arkitektur:
Niveau 1: Kompromitterede SOHO- og IoT-enheder
Niveau 2: Udnyttelsesservere, nyttelastservere og Command-and-Control (C2) servere
Tier 3: Centraliserede styringsknuder og en Electron-applikationsgrænseflade på tværs af platforme kendt som Sparrow (også kaldet Node Comprehensive Control Tool eller NCCT)
I denne opsætning initieres bot-opgaver fra Tier 3 'Sparrow'-administrationsknuderne, rutes gennem Tier 2 C2-servere og i sidste ende leveres til bots i Tier 1, som udgør størstedelen af botnettets netværk.
De målrettede enheder omfatter routere, IP-kameraer, DVR'er og NAS-systemer fra forskellige producenter såsom ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK og Zyxel.
De fleste af Tier 1-knuderne er blevet sporet til lokationer i USA, Taiwan, Vietnam, Brasilien, Hong Kong og Tyrkiet. Hver node har en gennemsnitlig levetid på 17,44 dage, hvilket tyder på, at trusselsaktøren nemt kan geninficere enhederne, når det er nødvendigt.
Detaljer om Raptor Train Attack Chain
I mange tilfælde implementerede operatørerne ikke en persistensmekanisme, der overlever en genstart. Botnettets vedholdenhed understøttes imidlertid af det omfattende udvalg af udnyttelser, der er tilgængelige for forskellige sårbare SOHO- og IoT-enheder og det store antal af sådanne enheder online, hvilket giver Raptor Train en slags 'iboende' vedholdenhed.
Noderne er inficeret med et in-memory-implantat kendt som Nosedive, en tilpasset variant af Mirai-botnettet, gennem Tier 2-nyttelastservere, der er specifikt opsat til dette formål. Denne ELF-binære tillader udførelse af kommandoer, upload og download af filer og DDoS-angreb.
Tier 2 noder roteres cirka hver 75. dag og er hovedsageligt placeret i USA, Singapore, Storbritannien, Japan og Sydkorea. Antallet af C2-noder er vokset fra omkring 1-5 mellem 2020 og 2022 til mindst 60 mellem juni og august 2024.
Disse Tier 2-noder er alsidige og tjener ikke kun som udnyttelses- og nyttelastservere, men letter også rekognoscering af målrettede enheder og inkorporerer nye enheder i botnettet.
Flere raptortogangrebskampagner er blevet afsløret
Siden midten af 2020 har mindst fire forskellige kampagner været forbundet med det udviklende Raptor Train-botnet, hver karakteriseret ved forskellige roddomæner og målrettede enheder:
- Crossbill (maj 2020 til april 2022) - Brugte C2-roddomænet k3121.com og dets tilknyttede underdomæner.
- Finch (juli 2022 til juni 2023) - Ansatte C2-roddomænet b2047.com og relaterede C2-underdomæner.
- Canary (maj 2023 til august 2023) - Brugte også C2-roddomænet b2047.com og dets underdomæner, men var afhængig af flertrins droppere.
- Oriole (juni 2023 til september 2024) - Brugte C2-roddomænet w8510.com og dets tilknyttede underdomæner.
Canary-kampagnen er især bemærkelsesværdig for dens fokus på ActionTec PK5000-modemmer, Hikvision IP-kameraer, Shenzhen TVT NVR'er og ASUS-routere. Det er kendetegnet ved en flerlags infektionskæde, der først downloader et bash-script, som derefter forbindes til en Tier 2-nyttelastserver for at hente Nosedive og et andet-trins bash-script.
Myndigheder skrider til handling mod raptortoget og hørtyfonen
Det amerikanske justitsministerium (DoJ) har annonceret nedtagningen af Raptor Train-botnettet efter en domstolsautoriseret retshåndhævelsesoperation. DoJ har knyttet Flax Typhoon-truslen til en børsnoteret Beijing-baseret virksomhed kaldet Integrity Technology Group.
Dette malware-netværk forbandt tusindvis af inficerede enheder til et botnet administreret af Integrity Technology Group. Det blev brugt til at udføre truende cyberaktiviteter forklædt som almindelig internettrafik fra de inficerede enheder.
Under operationen beslaglagde retshåndhævelsen angribernes infrastruktur og udstedte deaktiveringskommandoer til malwaren på inficerede enheder. Trusselsaktørerne forsøgte at hindre denne indsats ved at lancere et DDoS-angreb mod de servere, der blev brugt af Federal Bureau of Investigation (FBI) til at eksekvere retskendelsen, men disse forsøg var mislykkede.
Ifølge DoJ drev Integrity Technology Group en onlineapplikation, der tillod kunder at logge ind og kontrollere kompromitterede enheder. Denne applikation, kaldet 'KRLab' og markedsført under Integrity Technology Groups førende offentlige brand, inkluderede et værktøj kaldet 'sårbarhed-arsenal' til at udføre skadelige cyberkommandoer.
I juni 2024 var botnettet vokset til over 260.000 enheder, med ofre placeret i Nordamerika (135.300), Europa (65.600), Asien (50.400), Afrika (9.200), Oceanien (2.400) og Sydamerika (800).
Derudover blev over 1,2 millioner registreringer af kompromitterede enheder fundet i en MySQL-database hostet på en Tier 3-administrationsserver. Denne server administreret gennem Sparrow-applikationen, blev brugt til at kontrollere botnet- og C2-serverne og inkluderede et modul til at udnytte computernetværk ved hjælp af både kendte og zero-day sårbarheder.
