Monen lisenssin alennustarjous
Uhatietokanta Bottiverkot Raptor Train Botnet

Raptor Train Botnet

Vuonna Mezo vuonna Bottiverkot
Käännä:
Suomi

Kyberturvallisuustutkijat ovat löytäneet uuden botnet-verkon, joka koostuu vaarantuneista pienistä toimisto-/kotitoimistoista (SOHO) ja esineiden internetistä (IoT). Tätä bottiverkkoa uskotaan hallitsevan kiinalainen kansallisvaltion uhkaryhmä, joka tunnetaan nimellä Flax Typhoon, jota kutsutaan myös Ethereal Pandaksi tai RedJuliettiksi.

Tutkijat antoivat bottiverkon nimeksi "Raptor Train". Se on ollut aktiivinen ainakin toukokuusta 2020 lähtien, ja se saavutti 60 000 vaarantuneen laitteen huippunsa kesäkuuhun 2023 mennessä.

Tähän mennessä Raptor Train on kaapannut yli 200 000 laitetta, mukaan lukien SOHO-reitittimet, NVR/DVR-järjestelmät, verkkoon liitetyt tallennuspalvelimet (NAS) ja IP-kamerat, mikä tekee siitä yhden Kiinan suurimmista valtion tukemista IoT-bottiverkoista. .

Asiantuntijat arvioivat, että Raptor-juna on vaikuttanut yli 200 000 laitteeseen

Bottiverkon infrastruktuurin uskotaan vaarantavan satoja tuhansia laitteita sen perustamisesta lähtien. Se toimii kolmiportaisella arkkitehtuurilla:

Taso 1: Vaaralliset SOHO- ja IoT-laitteet

Taso 2: Hyödyntämispalvelimet, hyötykuormapalvelimet ja Command-and-Control (C2) -palvelimet

Taso 3: Keskitetyt hallintasolmut ja cross-platform Electron-sovellusliittymä, joka tunnetaan nimellä Sparrow (kutsutaan myös Node Comprehensive Control Tooliksi tai NCCT:ksi)

Tässä asetuksessa bottitehtävät käynnistetään tason 3 "Sparrow"-hallintasolmuista, reititetään tason 2 C2-palvelimien kautta ja toimitetaan lopulta tason 1 boteille, jotka muodostavat suurimman osan bottiverkon verkosta.

Kohdelaitteita ovat reitittimet, IP-kamerat, DVR:t ja NAS-järjestelmät eri valmistajilta, kuten ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK ja Zyxel.

Suurin osa tason 1 solmuista on jäljitetty USA:ssa, Taiwanissa, Vietnamissa, Brasiliassa, Hongkongissa ja Turkissa. Jokaisen solmun keskimääräinen elinikä on 17,44 päivää, mikä viittaa siihen, että uhkatekijä voi helposti tartuttaa laitteet uudelleen tarvittaessa.

Yksityiskohdat Raptor-junan hyökkäysketjusta

Monissa tapauksissa operaattorit eivät ottaneet käyttöön pysyvyysmekanismia, joka kestää uudelleenkäynnistyksen. Bottiverkon pysyvyyttä tukee kuitenkin laaja valikoima erilaisia haavoittuvia SOHO- ja IoT-laitteita sekä tällaisten laitteiden suuri määrä verkossa, mikä antaa Raptor Trainille eräänlaisen "luontaisen" pysyvyyden.

Solmut ovat saaneet tartunnan muistissa olevalla Nosedive-istutteella, joka on Mirai-bottiverkon mukautettu muunnelma Tier 2 -hyötykuormapalvelimien kautta, jotka on määritetty erityisesti tätä tarkoitusta varten. Tämä ELF-binaari mahdollistaa komentojen suorittamisen, tiedostojen lataukset ja lataukset sekä DDoS-hyökkäykset.

Tason 2 solmuja vaihdetaan noin 75 päivän välein, ja ne sijaitsevat pääasiassa Yhdysvalloissa, Singaporessa, Isossa-Britanniassa, Japanissa ja Etelä-Koreassa. C2-solmujen määrä on kasvanut noin 1-5:stä vuosien 2020 ja 2022 välillä vähintään 60:een kesä-elokuussa 2024.

Nämä Tier 2 -solmut ovat monipuolisia, ja ne eivät toimi vain hyödyntämis- ja hyötykuormapalvelimina, vaan myös helpottavat kohdekokonaisuuksien tutkimista ja uusien laitteiden sisällyttämistä bottiverkkoon.

Useita Raptor-junahyökkäyskampanjoita on paljastettu

Vuoden 2020 puolivälistä lähtien kehittyvään Raptor Train -bottiverkkoon on liitetty ainakin neljä erillistä kampanjaa, joista jokaiselle on ominaista erilaiset juuriverkkotunnukset ja kohdistetut laitteet:

  • Crossbill (toukokuusta 2020 huhtikuuhun 2022) – käytti C2-juuriverkkotunnusta k3121.com ja siihen liittyviä aliverkkotunnuksia.
  • Finch (heinäkuu 2022–kesäkuu 2023) – Käytti C2-juuriverkkotunnusta b2047.com ja siihen liittyviä C2-aliverkkotunnuksia.
  • Canary (toukokuusta 2023 elokuuhun 2023) - Käytti myös C2-juuriverkkotunnusta b2047.com ja sen aliverkkotunnuksia, mutta luotti monivaiheisiin droppereihin.
  • Oriole (kesäkuu 2023–syyskuu 2024) - Käytti C2-juuriverkkotunnusta w8510.com ja siihen liittyviä aliverkkotunnuksia.

Canary-kampanja on erityisen huomionarvoinen keskittyessään ActionTec PK5000 -modeemeihin, Hikvision IP -kameroihin, Shenzhen TVT NVR:ihin ja ASUS-reitittimiin. Se erottuu monikerroksisesta tartuntaketjusta, joka lataa ensin bash-komentosarjan, joka sitten muodostaa yhteyden tason 2 hyötykuormapalvelimeen Nosediven ja toisen vaiheen bash-skriptin hakemiseksi.

Viranomaiset ryhtyvät toimiin Raptor-junaa ja pellavataifuunia vastaan

Yhdysvaltain oikeusministeriö (DoJ) on ilmoittanut poistavansa Raptor Train -bottiverkon tuomioistuimen valtuuttaman lainvalvontaoperaation seurauksena. DoJ on yhdistänyt Flax Typhoon -uhkatekijän pekingissä sijaitsevaan julkisesti noteeratuun yritykseen nimeltä Integrity Technology Group.

Tämä haittaohjelmaverkko yhdisti tuhansia tartunnan saaneita laitteita Integrity Technology Groupin hallinnoimaan bottiverkkoon. Sitä käytettiin uhkaaviin kybertoimintoihin naamioituna tavalliseksi Internet-liikenteeksi tartunnan saaneilta laitteilta.

Operaation aikana lainvalvontaviranomaiset takavarikoivat hyökkääjien infrastruktuurin ja antoivat estokomentoja haittaohjelmille tartunnan saaneilla laitteilla. Uhkatoimijat yrittivät estää tätä yritystä käynnistämällä DDoS-hyökkäyksen palvelimia vastaan, joita Federal Bureau of Investigation (FBI) käytti oikeuden määräyksen toteuttamiseen, mutta yritykset epäonnistuivat.

DoJ:n mukaan Integrity Technology Groupilla oli online-sovellus, jonka avulla asiakkaat voivat kirjautua sisään ja hallita vaarantuneita laitteita. Tämä sovellus, nimeltään "KRLab" ja jota markkinoitiin Integrity Technology Groupin johtavalla julkisella tuotemerkillä, sisälsi haavoittuvuusarsenaaliksi kutsutun työkalun haitallisten kyberkomentojen suorittamiseen.

Kesäkuuhun 2024 mennessä bottiverkko oli kasvanut yli 260 000 laitteeseen, ja uhreja oli Pohjois-Amerikassa (135 300), Euroopassa (65 600), Aasiassa (50 400), Afrikassa (9 200), Oseaniassa (2 400) ja Etelä-Amerikassa (800).

Lisäksi yli 1,2 miljoonaa tietuetta vaarantuneista laitteista löydettiin MySQL-tietokannasta, jota ylläpidettiin tason 3 hallintapalvelimella. Tätä Sparrow-sovelluksen kautta hallittua palvelinta käytettiin botnet- ja C2-palvelimien ohjaamiseen ja se sisälsi moduulin tietokoneverkkojen hyödyntämiseen sekä tunnettuja että nollapäivän haavoittuvuuksia käyttäen.

Trendaavat

Eniten katsottu

"Geek Squad" -sähköpostihuijaus

Tietojenkalastelu, Roskaposti
37,699
Geek Squad, suosittu teknisen tuen tarjoaja, on joutunut tietojenkalasteluhuijauksen uhriksi nimeltä Geek Squad Email Scam. Tämä teknisen tuen huijaus käyttää väärennettyjä sähköposteja, jotka huijaavat ihmisiä antamaan henkilökohtaisia tietojaan, kuten luottokorttitietoja, sähköpostiosoitteita ja jopa sosiaaliturvatunnuksia. Tässä artikkelissa keskustelemme itse huijauksesta, miltä se näyttää,...
Ladataan...