Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Botnetek Raptor Train botnet

Raptor Train botnet

Mezo -ra Botnetek-ben
Fordítás ide:
Magyar

Kiberbiztonsági kutatók egy új botnetet azonosítottak, amely feltört kis irodai/otthoni irodai (SOHO) és Internet of Things (IoT) eszközökből áll. Ezt a botnetet vélhetően egy kínai nemzetállami fenyegetési csoport, a Flax Typhoon, más néven Etheral Panda vagy RedJuliett irányítja.

A kutatók a botnetet Raptor Trainnek nevezték el. Legalább 2020 májusa óta aktív, és 2023 júniusára elérte a 60 000 feltört eszköz csúcsát.

A mai napig több mint 200 000 eszközt, köztük SOHO útválasztókat, NVR/DVR rendszereket, hálózathoz csatolt tárolószervereket (NAS) és IP-kamerákat térített el a Raptor Train, így ez az egyik legnagyobb, Kínához kapcsolódó, államilag támogatott IoT botnet. .

A szakértők becslése szerint a Raptor vonat több mint 200 000 eszközt érintett

A botnet infrastruktúrája vélhetően több százezer eszközt veszélyeztetett a kezdetek óta. Háromszintű architektúrával működik:

1. szint: Kompromittált SOHO- és IoT-eszközök

2. szint: Kihasználási szerverek, hasznos kiszolgálók és Command-and-Control (C2) szerverek

3. szint: Központosított felügyeleti csomópontok és a Sparrow néven ismert többplatformos Electron alkalmazási felület (más néven Node Comprehensive Control Tool vagy NCCT)

Ebben a beállításban a botfeladatokat a 3. szintű „Sparrow” felügyeleti csomópontok kezdeményezik, Tier 2 C2 szervereken keresztül irányítják, és végül eljuttatják az 1. szintű robotokhoz, amelyek a botnet hálózatának nagy részét alkotják.

A megcélzott eszközök között vannak routerek, IP kamerák, DVR-ek és NAS-rendszerek különböző gyártóktól, mint például az ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK és Zyxel.

A Tier 1 csomópontok többsége az Egyesült Államokban, Tajvanon, Vietnamban, Brazíliában, Hongkongban és Törökországban található. Az egyes csomópontok átlagos élettartama 17,44 nap, ami arra utal, hogy a fenyegetés szereplője szükség esetén könnyen újrafertőzheti az eszközöket.

Részletek a Raptor vonat támadási láncáról

Sok esetben az operátorok nem valósítottak meg olyan megmaradási mechanizmust, amely túléli az újraindítást. A botnet fennmaradását azonban támogatja a különféle sebezhető SOHO- és IoT-eszközökhöz elérhető exploitok széles skálája, valamint az ilyen online eszközök nagy száma, ami egyfajta „bennük rejlő” kitartást ad a Raptor Trainnek.

A csomópontokat a Nosedive néven ismert, memórián belüli implantátum, a Mirai botnet egyedi változata fertőzi meg, a kifejezetten erre a célra beállított Tier 2 rakományszervereken keresztül. Ez az ELF bináris fájl lehetővé teszi a parancsok végrehajtását, a fájlok feltöltését és letöltését, valamint a DDoS támadásokat.

A 2. szintű csomópontokat körülbelül 75 naponként váltják fel, és főként az Egyesült Államokban, Szingapúrban, az Egyesült Királyságban, Japánban és Dél-Koreában találhatók. A C2 csomópontok száma a 2020 és 2022 közötti körülbelül 1-5-ről 2024 júniusa és augusztusa között legalább 60-ra nőtt.

Ezek a Tier 2 csomópontok sokoldalúak, nemcsak kihasználó és hasznos kiszolgálóként szolgálnak, hanem megkönnyítik a megcélzott entitások felderítését és új eszközök beépítését a botnetbe.

Több Raptor-vonattámadási kampányra derült fény

2020 közepe óta legalább négy különböző kampányt társítottak a fejlődő Raptor Train botnethez, mindegyiket különböző gyökérdomainekkel és célzott eszközökkel jellemezték:

  • Crossbill (2020 májusától 2022 áprilisáig) – A k3121.com C2 gyökérdomaint és a hozzá tartozó aldomaineket használta.
  • Finch (2022 júliusától 2023 júniusáig) – A b2047.com C2 gyökérdomaint és a kapcsolódó C2 aldomaineket alkalmazta.
  • Canary (2023. májustól 2023. augusztusig) – A b2047.com C2 gyökérdomaint és aldomainjeit is használta, de többlépcsős dropperekre támaszkodott.
  • Oriole (2023 júniusától 2024 szeptemberéig) – A w8510.com C2 gyökérdomaint és a hozzá tartozó aldomaineket használta.

A Canary kampány különösen figyelemre méltó az ActionTec PK5000 modemekre, a Hikvision IP kamerákra, a Shenzhen TVT NVR-ekre és az ASUS útválasztókra való összpontosítása miatt. Egy többrétegű fertőzési lánc jellemzi, amely először egy bash szkriptet tölt le, majd csatlakozik egy Tier 2-es kiszolgálóhoz a Nosedive és a második lépcsős bash szkript letöltéséhez.

A hatóságok fellépnek a Raptor Train és a Lentájfun ellen

Az Egyesült Államok Igazságügyi Minisztériuma (DoJ) bejelentette a Raptor Train botnet megszüntetését a bíróság által felhatalmazott bűnüldözési műveletet követően. A DoJ összekapcsolta a Flax Typhoon fenyegetettségét egy pekingi székhelyű, tőzsdén jegyzett Integrity Technology Group nevű céggel.

Ez a rosszindulatú programhálózat több ezer fertőzött eszközt csatlakoztatott az Integrity Technology Group által kezelt botnethez. A fertőzött eszközökről rendszeres internetes forgalomnak álcázott fenyegető kibertevékenységek végrehajtására használták.

A művelet során a bűnüldöző szervek lefoglalták a támadók infrastruktúráját, és tiltó parancsokat adtak ki a fertőzött eszközökön lévő kártevőkre. A fenyegetés szereplői megpróbálták megakadályozni ezt az erőfeszítést azzal, hogy DDoS-támadást indítottak a Szövetségi Nyomozó Iroda (FBI) által a bírósági végzés végrehajtására használt szerverek ellen, de ezek a kísérletek sikertelenek voltak.

A DoJ szerint az Integrity Technology Group olyan online alkalmazást üzemeltetett, amely lehetővé tette az ügyfelek számára, hogy bejelentkezzenek és ellenőrizzék a feltört eszközöket. Ez a „KRLab” nevű alkalmazás, amelyet az Integrity Technology Group vezető nyilvános márkája alatt forgalmaznak, tartalmazott egy „sebezhetőségi arzenálnak” nevezett eszközt a káros kiberparancsok végrehajtására.

2024 júniusára a botnet több mint 260 000 eszközre nőtt, az áldozatok Észak-Amerikában (135 300), Európában (65 600), Ázsiában (50 400), Afrikában (9 200), Óceániában (2 400) és Dél-Amerikában (800).

Ezenkívül több mint 1,2 millió feltört eszközrekordot találtak a 3. szintű felügyeleti szerveren tárolt MySQL adatbázisban. Ez a szerver a Sparrow alkalmazáson keresztül kezelt, a botnet és a C2 szerverek vezérlésére szolgált, és tartalmazott egy modult a számítógépes hálózatok kihasználására, mind az ismert, mind a nulladik napi sebezhetőségeket használva.

Felkapott

Legnézettebb

„Geek Squad” e-mail átverés

Adathalászat, Spam
37,699
A Geek Squad, egy népszerű technikai támogatási szolgáltató a Geek Squad Email Scam nevű adathalász csalás áldozata lett. Ez a technikai támogatási átverés hamis e-maileket használ, amelyek ráveszik az embereket személyes adataik megadására, például hitelkártyaadatokra, e-mail címekre, sőt társadalombiztosítási számokra is. Ebben a cikkben magáról a csalásról fogunk beszélni, hogyan néz ki,...

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
29,203
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...