Raptor Train Botnet

사이버 보안 연구원들은 침해된 소규모 사무실/홈 오피스(SOHO) 및 사물 인터넷(IoT) 장치로 구성된 새로운 봇넷을 식별했습니다. 이 봇넷은 Flax Typhoon이라고 알려진 중국 국가 위협 그룹, Ethereal Panda 또는 RedJuliett이라고도 하는 그룹에 의해 제어되는 것으로 여겨집니다.

연구원들은 이 봇넷을 '랩터 트레인'이라고 명명했습니다. 이 봇넷은 적어도 2020년 5월부터 활동해 왔으며 2023년 6월까지 60,000대의 기기가 침해되는 최고치에 도달했습니다.

현재까지 SOHO 라우터, NVR/DVR 시스템, NAS(네트워크 연결 스토리지) 서버, IP 카메라를 포함한 20만 대가 넘는 장치가 Raptor Train에 의해 하이재킹당했습니다. 이는 중국과 연결된 가장 큰 국가 지원 IoT 봇넷 중 하나가 되었습니다.

전문가들은 랩터 열차가 20만 개 이상의 기기에 영향을 미쳤다고 추정합니다.

봇넷의 인프라는 처음 시작된 이래로 수십만 대의 기기를 손상시킨 것으로 추정됩니다. 3단계 아키텍처를 사용하여 작동합니다.

1단계: 손상된 SOHO 및 IoT 장치

2단계: 악용 서버, 페이로드 서버 및 명령 및 제어(C2) 서버

3단계: 중앙 관리 노드 및 Sparrow(Node Comprehensive Control Tool 또는 NCCT라고도 함)로 알려진 크로스 플랫폼 Electron 애플리케이션 인터페이스

이러한 설정에서 봇 작업은 Tier 3 'Sparrow' 관리 노드에서 시작되어 Tier 2 C2 서버를 거쳐 최종적으로 Tier 1의 봇에 전달됩니다. Tier 1은 봇넷 네트워크의 대부분을 차지합니다.

대상 장비로는 ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK, Zyxel 등 다양한 제조업체에서 제작한 라우터, IP 카메라, DVR, NAS 시스템이 있습니다.

Tier 1 노드의 대부분은 미국, 대만, 베트남, 브라질, 홍콩, 터키의 위치로 추적되었습니다. 각 노드의 평균 수명은 17.44일로, 위협 행위자가 필요할 때마다 장치를 쉽게 재감염시킬 수 있음을 시사합니다.

랩터 트레인 공격 체인에 대한 세부 정보

많은 경우 운영자는 재부팅 후에도 살아남는 지속성 메커니즘을 구현하지 않았습니다. 그러나 봇넷의 지속성은 다양한 취약한 SOHO 및 IoT 기기에 사용 가능한 광범위한 익스플로잇과 온라인에 있는 이러한 기기의 수가 많기 때문에 Raptor Train에 일종의 '본질적인' 지속성을 제공합니다.

노드는 Mirai 봇넷의 사용자 지정 변형인 Nosedive라는 메모리 내 임플란트에 감염되었으며, 이 목적을 위해 특별히 설정된 Tier 2 페이로드 서버를 통해 감염되었습니다. 이 ELF 바이너리는 명령 실행, 파일 업로드 및 다운로드, DDoS 공격을 허용합니다.

2단계 노드는 약 75일마다 순환하며 주로 미국, 싱가포르, 영국, 일본, 한국에 있습니다. C2 노드의 수는 2020년에서 2022년 사이에 약 1~5개에서 2024년 6월에서 8월 사이에 최소 60개로 증가했습니다.

이러한 2계층 노드는 다재다능하여 착취 및 페이로드 서버로만 활용되는 것이 아니라 대상 엔터티에 대한 정찰을 용이하게 하고 새로운 장치를 봇넷에 통합하는 역할도 합니다.

여러 랩터 열차 공격 캠페인이 발견되었습니다.

2020년 중반 이후로 적어도 4개의 개별 캠페인이 진화하는 Raptor Train 봇넷과 연관되었으며, 각각 다른 루트 도메인과 대상 장치를 특징으로 합니다.

• 크로스빌(2020년 5월~2022년 4월) - C2 루트 도메인 k3121.com과 관련 하위 도메인을 활용했습니다.
• 핀치(2022년 7월~2023년 6월) - C2 루트 도메인 b2047.com과 관련 C2 하위 도메인을 활용했습니다.
• 카나리아(2023년 5월~2023년 8월) - C2 루트 도메인 b2047.com과 그 하위 도메인도 사용했지만 다단계 드로퍼에 의존했습니다.
• 오리올(2023년 6월~2024년 9월) - C2 루트 도메인 w8510.com과 관련 하위 도메인을 활용했습니다.

Canary 캠페인은 ActionTec PK5000 모뎀, Hikvision IP 카메라, Shenzhen TVT NVR 및 ASUS 라우터에 초점을 맞춘 것이 특히 주목할 만합니다. 먼저 bash 스크립트를 다운로드한 다음 Tier 2 페이로드 서버에 연결하여 Nosedive와 2단계 bash 스크립트를 가져오는 다층 감염 체인으로 구별됩니다.

당국, 랩터 열차와 플랙스 타이푼에 대한 조치 취하다

미국 법무부(DoJ)는 법원 허가를 받은 법 집행 작전에 따라 Raptor Train 봇넷을 제거했다고 발표했습니다. DoJ는 Flax Typhoon 위협 행위자를 베이징에 본사를 둔 상장 기업인 Integrity Technology Group과 연결했습니다.

이 맬웨어 네트워크는 수천 대의 감염된 기기를 Integrity Technology Group이 관리하는 봇넷에 연결했습니다. 감염된 기기에서 일반적인 인터넷 트래픽으로 위장한 위협적인 사이버 활동을 수행하는 데 사용되었습니다.

작전 중에 법 집행 기관은 공격자의 인프라를 압수하고 감염된 기기의 맬웨어에 비활성화 명령을 내렸습니다. 위협 행위자들은 연방수사국(FBI)이 법원 명령을 집행하는 데 사용하는 서버에 DDoS 공격을 가함으로써 이러한 노력을 방해하려고 시도했지만, 이러한 시도는 실패했습니다.

DoJ에 따르면, Integrity Technology Group은 고객이 로그인하여 손상된 기기를 제어할 수 있는 온라인 애플리케이션을 운영했습니다. 'KRLab'이라는 이름의 이 애플리케이션은 Integrity Technology Group의 주요 공공 브랜드로 마케팅되었으며, 해로운 사이버 명령을 실행하기 위한 'vulnerability-arsenal'이라는 도구가 포함되었습니다.

2024년 6월까지 봇넷은 260,000대 이상의 장치로 확대되었으며, 피해자는 북미(135,300대), 유럽(65,600대), 아시아(50,400대), 아프리카(9,200대), 오세아니아(2,400대), 남미(800대)에 위치해 있었습니다.

또한, Tier 3 관리 서버에 호스팅된 MySQL 데이터베이스에서 120만 개 이상의 손상된 장치 기록이 발견되었습니다. Sparrow 애플리케이션을 통해 관리되는 이 서버는 봇넷과 C2 서버를 제어하는 데 사용되었으며 알려진 취약성과 제로데이 취약성을 모두 사용하여 컴퓨터 네트워크를 악용하는 모듈이 포함되었습니다.