Rabatttilbud for flere lisenser
Trusseldatabase Botnett Raptor Train Botnet

Raptor Train Botnet

Med Mezo i Botnett
Oversett til:
Norsk

Cybersikkerhetsforskere har identifisert et nytt botnett bestående av kompromitterte små kontor/hjemmekontor (SOHO) og Internet of Things (IoT) enheter. Dette botnettet antas å være kontrollert av en kinesisk nasjonalstatstrusselgruppe kjent som Flax Typhoon, også referert til som Ethereal Panda eller RedJuliett.

Forskerne kalte botnettet "Raptor Train". Den har vært aktiv siden minst mai 2020 og nådde en topp på 60 000 kompromitterte enheter innen juni 2023.

Til dags dato har over 200 000 enheter, inkludert SOHO-rutere, NVR/DVR-systemer, nettverkstilkoblede lagringsservere (NAS) og IP-kameraer, blitt kapret av Raptor Train, noe som gjør det til et av de største statsstøttede IoT-botnettene knyttet til Kina .

Eksperter anslår at Raptor-toget har påvirket over 200 000 enheter

Botnettets infrastruktur antas å ha kompromittert hundretusenvis av enheter siden oppstarten. Den opererer ved hjelp av en tre-lags arkitektur:

Nivå 1: Kompromitterte SOHO- og IoT-enheter

Nivå 2: Utnyttelsesservere, nyttelastservere og Command-and-Control (C2)-servere

Nivå 3: Sentraliserte administrasjonsnoder og et Electron-applikasjonsgrensesnitt på tvers av plattformer kjent som Sparrow (også kalt Node Comprehensive Control Tool, eller NCCT)

I dette oppsettet initieres bot-oppgaver fra Tier 3 'Sparrow'-administrasjonsnodene, rutes gjennom Tier 2 C2-servere, og til slutt levert til robotene i Tier 1, som utgjør størstedelen av botnettets nettverk.

De målrettede enhetene inkluderer rutere, IP-kameraer, DVR-er og NAS-systemer fra forskjellige produsenter som ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK og Zyxel.

De fleste av Tier 1-nodene har blitt sporet til steder i USA, Taiwan, Vietnam, Brasil, Hong Kong og Tyrkia. Hver node har en gjennomsnittlig levetid på 17,44 dager, noe som tyder på at trusselaktøren enkelt kan infisere enhetene når det er nødvendig.

Detaljer om Raptor Train Attack Chain

I mange tilfeller implementerte ikke operatørene en utholdenhetsmekanisme som overlever en omstart. Utholdenheten til botnettet støttes imidlertid av det omfattende utvalget av utnyttelser tilgjengelig for ulike sårbare SOHO- og IoT-enheter og det store antallet slike enheter på nettet, noe som gir Raptor Train en slags "iboende" utholdenhet.

Nodene er infisert med et implantat i minnet kjent som Nosedive, en tilpasset variant av Mirai-botnettet, gjennom Tier 2-nyttelastservere spesielt satt opp for dette formålet. Denne ELF-binærfilen tillater kommandoutførelse, filopplasting og nedlasting og DDoS-angrep.

Nivå 2-noder roteres omtrent hver 75. dag og er hovedsakelig lokalisert i USA, Singapore, Storbritannia, Japan og Sør-Korea. Antall C2-noder har vokst fra omtrent 1-5 mellom 2020 og 2022 til minst 60 mellom juni og august 2024.

Disse Tier 2-nodene er allsidige, og fungerer ikke bare som utnyttelses- og nyttelastservere, men de letter også rekognosering av målrettede enheter og inkorporerer nye enheter i botnettet.

Flere raptortogangrepskampanjer har blitt avdekket

Siden midten av 2020 har minst fire forskjellige kampanjer blitt assosiert med det utviklende Raptor Train-botnettet, hver preget av forskjellige rotdomener og målrettede enheter:

  • Crossbill (mai 2020 til april 2022) – Brukte C2-rotdomenet k3121.com og tilhørende underdomener.
  • Finch (juli 2022 til juni 2023) – Ansatt C2-rotdomenet b2047.com og relaterte C2-underdomener.
  • Canary (mai 2023 til august 2023) – Brukte også C2-rotdomenet b2047.com og dets underdomener, men stolte på flertrinns droppere.
  • Oriole (juni 2023 til september 2024) – Brukte C2-rotdomenet w8510.com og tilhørende underdomener.

Canary-kampanjen er spesielt bemerkelsesverdig for sitt fokus på ActionTec PK5000-modemer, Hikvision IP-kameraer, Shenzhen TVT NVR-er og ASUS-rutere. Det kjennetegnes ved en flerlags infeksjonskjede som først laster ned et bash-skript, som deretter kobles til en nivå 2-nyttelastserver for å hente Nosedive og et andre-trinns bash-skript.

Myndighetene tar grep mot Raptor-toget og lintyfonen

Det amerikanske justisdepartementet (DoJ) har kunngjort fjerningen av Raptor Train-botnettet etter en rettsautorisert politioperasjon. DoJ har knyttet Flax Typhoon-trusselaktøren til et børsnotert Beijing-basert selskap kalt Integrity Technology Group.

Dette skadevarenettverket koblet tusenvis av infiserte enheter til et botnett administrert av Integrity Technology Group. Den ble brukt til å utføre truende cyberaktiviteter forkledd som vanlig Internett-trafikk fra de infiserte enhetene.

Under operasjonen beslagla politiet angripernes infrastruktur og utstedte deaktiveringskommandoer til skadelig programvare på infiserte enheter. Trusselaktørene forsøkte å hindre denne innsatsen ved å starte et DDoS-angrep mot serverne som ble brukt av Federal Bureau of Investigation (FBI) for å utføre rettskjennelsen, men disse forsøkene var mislykkede.

I følge DoJ opererte Integrity Technology Group en nettapplikasjon som tillot kunder å logge på og kontrollere kompromitterte enheter. Denne applikasjonen, kalt 'KRLab' og markedsført under Integrity Technology Groups ledende offentlige merkevare, inkluderte et verktøy kalt 'sårbarhetsarsenal' for å utføre skadelige cyberkommandoer.

I juni 2024 hadde botnettet vokst til over 260 000 enheter, med ofre lokalisert i Nord-Amerika (135 300), Europa (65 600), Asia (50 400), Afrika (9 200), Oseania (2 400) og Sør-Amerika (800).

I tillegg ble over 1,2 millioner registreringer av kompromitterte enheter funnet i en MySQL-database på en Tier 3-administrasjonsserver. Denne serveren administrert gjennom Sparrow-applikasjonen, ble brukt til å kontrollere botnett- og C2-serverne og inkluderte en modul for å utnytte datanettverk ved å bruke både kjente og nulldagssårbarheter.

Trender

Mest sett

Laster inn...