Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Botnets Raptor Train Botnet

Raptor Train Botnet

Μέχρι το Mezo το Botnets
Μετάφραση σε:
Ελληνικά

Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νέο botnet που αποτελείται από παραβιασμένες συσκευές μικρού γραφείου/οικιακού γραφείου (SOHO) και Internet of Things (IoT). Αυτό το botnet πιστεύεται ότι ελέγχεται από μια κινεζική ομάδα απειλών εθνικού κράτους, γνωστή ως Flax Typhoon, που αναφέρεται επίσης ως Ethereal Panda ή RedJuliett.

Οι ερευνητές ονόμασαν το botnet «Raptor Train». Είναι ενεργό τουλάχιστον από τον Μάιο του 2020 και έφτασε στο ανώτατο όριο των 60.000 παραβιασμένων συσκευών έως τον Ιούνιο του 2023.

Μέχρι σήμερα, περισσότερες από 200.000 συσκευές, συμπεριλαμβανομένων των δρομολογητών SOHO, συστημάτων NVR/DVR, διακομιστών αποθήκευσης συνδεδεμένου με το δίκτυο (NAS) και κάμερες IP, έχουν πειραχτεί από το Raptor Train, καθιστώντας το ένα από τα μεγαλύτερα botnet IoT που χρηματοδοτούνται από το κράτος και συνδέονται με την Κίνα. .

Οι ειδικοί εκτιμούν ότι το Raptor Train έχει επηρεάσει περισσότερες από 200.000 συσκευές

Η υποδομή του botnet πιστεύεται ότι έχει θέσει σε κίνδυνο εκατοντάδες χιλιάδες συσκευές από την έναρξή του. Λειτουργεί χρησιμοποιώντας μια αρχιτεκτονική τριών επιπέδων:

Βαθμίδα 1: Παραβιασμένες συσκευές SOHO και IoT

Βαθμίδα 2: Διακομιστές εκμετάλλευσης, διακομιστές ωφέλιμου φορτίου και διακομιστές Command-and-Control (C2)

Βαθμίδα 3: Κεντρικοί κόμβοι διαχείρισης και μια διεπαφή εφαρμογής Electron πολλαπλών πλατφορμών γνωστή ως Sparrow (ονομάζεται επίσης Node Comprehensive Control Tool ή NCCT)

Σε αυτήν τη ρύθμιση, οι εργασίες ρομπότ ξεκινούν από τους κόμβους διαχείρισης «Sparrow» Βαθμίδας 3, δρομολογούνται μέσω διακομιστών Βαθμίδας 2 C2 και τελικά παραδίδονται στα ρομπότ της Βαθμίδας 1, που αποτελούν την πλειοψηφία του δικτύου του botnet.

Οι στοχευμένες συσκευές περιλαμβάνουν δρομολογητές, κάμερες IP, DVR και συστήματα NAS από διάφορους κατασκευαστές όπως ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK και Zyxel.

Οι περισσότεροι από τους κόμβους Tier 1 έχουν εντοπιστεί σε τοποθεσίες στις ΗΠΑ, την Ταϊβάν, το Βιετνάμ, τη Βραζιλία, το Χονγκ Κονγκ και την Τουρκία. Κάθε κόμβος έχει μέση διάρκεια ζωής 17,44 ημέρες, υποδηλώνοντας ότι ο παράγοντας απειλής μπορεί εύκολα να μολύνει ξανά τις συσκευές όποτε χρειάζεται.

Λεπτομέρειες σχετικά με την αλυσίδα επίθεσης Raptor Train

Σε πολλές περιπτώσεις, οι χειριστές δεν εφάρμοσαν μηχανισμό επιμονής που να επιβιώνει από την επανεκκίνηση. Η επιμονή του botnet, ωστόσο, υποστηρίζεται από την εκτεταμένη γκάμα εκμεταλλεύσεων που διατίθενται για διάφορες ευάλωτες συσκευές SOHO και IoT και από τον μεγάλο αριθμό τέτοιων συσκευών στο διαδίκτυο, δίνοντας στο Raptor Train ένα είδος «εγγενούς» επιμονής.

Οι κόμβοι μολύνονται με ένα εμφύτευμα στη μνήμη γνωστό ως Nosedive, μια προσαρμοσμένη παραλλαγή του botnet Mirai, μέσω διακομιστών ωφέλιμου φορτίου Tier 2 που έχουν δημιουργηθεί ειδικά για αυτόν τον σκοπό. Αυτό το δυαδικό ELF επιτρέπει την εκτέλεση εντολών, τις μεταφορτώσεις και λήψεις αρχείων και τις επιθέσεις DDoS.

Οι κόμβοι βαθμίδας 2 εναλλάσσονται περίπου κάθε 75 ημέρες και βρίσκονται κυρίως στις ΗΠΑ, τη Σιγκαπούρη, το Ηνωμένο Βασίλειο, την Ιαπωνία και τη Νότια Κορέα. Ο αριθμός των κόμβων C2 αυξήθηκε από περίπου 1-5 μεταξύ 2020 και 2022 σε τουλάχιστον 60 μεταξύ Ιουνίου και Αυγούστου 2024.

Αυτοί οι κόμβοι Βαθμίδας 2 είναι ευέλικτοι, εξυπηρετώντας όχι μόνο ως διακομιστές εκμετάλλευσης και ωφέλιμου φορτίου, αλλά διευκολύνουν επίσης την αναγνώριση στοχευμένων οντοτήτων και ενσωματώνοντας νέες συσκευές στο botnet.

Πολλαπλές εκστρατείες επιθέσεων με τρένο Raptor έχουν αποκαλυφθεί

Από τα μέσα του 2020, τουλάχιστον τέσσερις ξεχωριστές καμπάνιες έχουν συσχετιστεί με το εξελισσόμενο botnet Raptor Train, καθεμία από τις οποίες χαρακτηρίζεται από διαφορετικούς τομείς ρίζας και στοχευμένες συσκευές:

  • Crossbill (Μάιος 2020 έως Απρίλιος 2022) - Χρησιμοποίησε τον ριζικό τομέα C2 k3121.com και τους σχετικούς υποτομείς.
  • Finch (Ιούλιος 2022 έως Ιούνιος 2023) - Χρησιμοποίησε τον ριζικό τομέα C2 b2047.com και σχετικούς υποτομείς C2.
  • Canary (Μάιος 2023 έως Αύγουστος 2023) - Χρησιμοποιούσε επίσης τον ριζικό τομέα C2 b2047.com και τους υποτομείς του, αλλά βασιζόταν σε droppers πολλαπλών σταδίων.
  • Oriole (Ιούνιος 2023 έως Σεπτέμβριος 2024) - Χρησιμοποίησε τον ριζικό τομέα C2 w8510.com και τους σχετικούς υποτομείς.

Η καμπάνια Canary είναι ιδιαίτερα αξιοσημείωτη για την εστίασή της σε μόντεμ ActionTec PK5000, κάμερες IP Hikvision, Shenzhen TVT NVR και δρομολογητές ASUS. Διακρίνεται από μια αλυσίδα μόλυνσης πολλαπλών επιπέδων που κατεβάζει πρώτα ένα σενάριο bash, το οποίο στη συνέχεια συνδέεται με έναν διακομιστή ωφέλιμου φορτίου Tier 2 για να ανακτήσει το Nosedive και ένα σενάριο bash δεύτερου σταδίου.

Οι αρχές αναλαμβάνουν δράση κατά του Raptor Train και του Flax Typhoon

Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ανακοίνωσε την κατάργηση του botnet Raptor Train μετά από μια επιχείρηση επιβολής του νόμου που εξουσιοδοτήθηκε από το δικαστήριο. Το Υπουργείο Δικαιοσύνης έχει συνδέσει τον παράγοντα της απειλής του Flax Typhoon με μια εισηγμένη στο Πεκίνο εταιρεία που ονομάζεται Integrity Technology Group.

Αυτό το δίκτυο κακόβουλου λογισμικού συνέδεσε χιλιάδες μολυσμένες συσκευές σε ένα botnet που διαχειρίζεται η Integrity Technology Group. Χρησιμοποιήθηκε για τη διεξαγωγή απειλητικών δραστηριοτήτων στον κυβερνοχώρο που κρύβονταν ως κανονική κίνηση στο Διαδίκτυο από τις μολυσμένες συσκευές.

Κατά τη διάρκεια της επιχείρησης, οι αρχές επιβολής του νόμου κατέλαβαν την υποδομή των εισβολέων και εξέδωσαν εντολές απενεργοποίησης του κακόβουλου λογισμικού σε μολυσμένες συσκευές. Οι παράγοντες της απειλής προσπάθησαν να εμποδίσουν αυτήν την προσπάθεια εξαπολύοντας μια επίθεση DDoS εναντίον των διακομιστών που χρησιμοποιούνται από το Ομοσπονδιακό Γραφείο Ερευνών (FBI) για την εκτέλεση της δικαστικής απόφασης, αλλά αυτές οι προσπάθειες ήταν ανεπιτυχείς.

Σύμφωνα με το DoJ, η Integrity Technology Group διαχειριζόταν μια διαδικτυακή εφαρμογή που επέτρεπε στους πελάτες να συνδεθούν και να ελέγξουν τις παραβιασμένες συσκευές. Αυτή η εφαρμογή, που ονομάζεται «KRLab» και διατίθεται στην αγορά με την κορυφαία δημόσια επωνυμία του Ομίλου Integrity Technology, περιελάμβανε ένα εργαλείο που ονομάζεται «ευπάθεια-οπλοστάσιο» για την εκτέλεση επιβλαβών εντολών στον κυβερνοχώρο.

Μέχρι τον Ιούνιο του 2024, το botnet είχε αυξηθεί σε περισσότερες από 260.000 συσκευές, με θύματα να βρίσκονται στη Βόρεια Αμερική (135.300), την Ευρώπη (65.600), την Ασία (50.400), την Αφρική (9.200), την Ωκεανία (2.400) και τη Νότια Αμερική (800).

Επιπλέον, πάνω από 1,2 εκατομμύρια εγγραφές παραβιασμένων συσκευών βρέθηκαν σε μια βάση δεδομένων MySQL που φιλοξενείται σε διακομιστή διαχείρισης Tier 3. Αυτός ο διακομιστής διαχειριζόταν μέσω της εφαρμογής Sparrow, χρησιμοποιήθηκε για τον έλεγχο των διακομιστών botnet και C2 και περιελάμβανε μια ενότητα για την εκμετάλλευση δικτύων υπολογιστών χρησιμοποιώντας τόσο γνωστές όσο και μηδενικές ευπάθειες.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Ανεπιθύμητη αλληλογραφία
37,699
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....

Αναδυόμενα παράθυρα "Εάν είστε 18, πατήστε...

Ψεύτικα προειδοποιητικά μηνύματα
29,203
Τα αναδυόμενα παράθυρα «Εάν είστε 18 ετών Πατήστε Επιτρέψτε» είναι ένας τύπος αναδυόμενης διαφήμισης που εμφανίζεται στην οθόνη ενός χρήστη κατά την περιήγηση στο Διαδίκτυο. Αυτά τα αναδυόμενα παράθυρα μπορεί να είναι αρκετά ανησυχητικά για τους χρήστες, καθώς τους προτρέπουν να κάνουν κλικ στο κουμπί "να επιτρέπεται" για να συνεχίσουν να χρησιμοποιούν τον ιστότοπο στον οποίο βρίσκονται αυτήν...
Φόρτωση...