Bedreigingsdatabase Botnets Raptor Train Botnet

Raptor Train Botnet

Cybersecurity-onderzoekers hebben een nieuw botnet geïdentificeerd dat bestaat uit gecompromitteerde small office/home office (SOHO) en Internet of Things (IoT)-apparaten. Er wordt aangenomen dat dit botnet wordt aangestuurd door een Chinese nationale bedreigingsgroep die bekendstaat als Flax Typhoon, ook wel Ethereal Panda of RedJuliett genoemd.

De onderzoekers noemden het botnet 'Raptor Train'. Het is actief sinds ten minste mei 2020 en bereikte een piek van 60.000 gecompromitteerde apparaten in juni 2023.

Tot op heden zijn meer dan 200.000 apparaten, waaronder SOHO-routers, NVR/DVR-systemen, NAS-servers (Network Attached Storage) en IP-camera's, gekaapt door Raptor Train. Daarmee is het een van de grootste door de staat gesponsorde IoT-botnets die aan China is gelinkt.

Deskundigen schatten dat de Raptor-trein meer dan 200.000 apparaten heeft getroffen

Er wordt aangenomen dat de infrastructuur van het botnet sinds het begin honderdduizenden apparaten heeft gecompromitteerd. Het werkt met een architectuur met drie lagen:

Niveau 1: Gecompromitteerde SOHO- en IoT-apparaten

Niveau 2: Exploitatieservers, payloadservers en Command-and-Control (C2)-servers

Niveau 3: Gecentraliseerde beheerknooppunten en een platformonafhankelijke Electron-applicatie-interface, bekend als Sparrow (ook wel Node Comprehensive Control Tool of NCCT genoemd)

In deze opstelling worden bottaken geïnitieerd vanuit de 'Sparrow'-beheerknooppunten van niveau 3, gerouteerd via C2-servers van niveau 2 en uiteindelijk afgeleverd bij de bots in niveau 1, die het grootste deel van het botnetnetwerk vormen.

De beoogde apparaten zijn routers, IP-camera's, DVR's en NAS-systemen van verschillende fabrikanten, zoals ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK en Zyxel.

De meeste Tier 1-knooppunten zijn getraceerd naar locaties in de VS, Taiwan, Vietnam, Brazilië, Hong Kong en Turkije. Elk knooppunt heeft een gemiddelde levensduur van 17,44 dagen, wat suggereert dat de dreigingsactor de apparaten gemakkelijk opnieuw kan infecteren wanneer dat nodig is.

Details over de aanvalsketen van de Raptor-trein

In veel gevallen hebben de operators geen persistentiemechanisme geïmplementeerd dat een reboot overleeft. De persistentie van het botnet wordt echter ondersteund door het uitgebreide scala aan exploits die beschikbaar zijn voor verschillende kwetsbare SOHO- en IoT-apparaten en het grote aantal van dergelijke apparaten online, waardoor Raptor Train een soort 'inherente' persistentie heeft.

De nodes zijn geïnfecteerd met een in-memory implant, bekend als Nosedive, een aangepaste variant van het Mirai botnet, via Tier 2 payload servers die speciaal voor dit doel zijn opgezet. Deze ELF binary staat uitvoering van opdrachten, bestandsuploads en -downloads en DDoS-aanvallen toe.

Tier 2-knooppunten worden ongeveer elke 75 dagen geroteerd en bevinden zich voornamelijk in de VS, Singapore, het VK, Japan en Zuid-Korea. Het aantal C2-knooppunten is gegroeid van ongeveer 1-5 tussen 2020 en 2022 tot ten minste 60 tussen juni en augustus 2024.

Deze Tier 2-knooppunten zijn veelzijdig en fungeren niet alleen als exploitatie- en payloadservers, maar maken ook verkenning van doelwitten mogelijk en het opnemen van nieuwe apparaten in het botnet.

Er zijn meerdere aanvalscampagnes met roofvogeltreinen ontdekt

Sinds medio 2020 zijn er minstens vier verschillende campagnes gekoppeld aan het evoluerende Raptor Train-botnet, elk gekenmerkt door verschillende rootdomeinen en doelapparaten:

  • Crossbill (mei 2020 tot april 2022) - Gebruikt het C2-rootdomein k3121.com en de bijbehorende subdomeinen.
  • Finch (juli 2022 tot juni 2023) - Gebruikt het C2-rootdomein b2047.com en gerelateerde C2-subdomeinen.
  • Canary (mei 2023 tot augustus 2023) - Maakte ook gebruik van het C2-rootdomein b2047.com en de bijbehorende subdomeinen, maar vertrouwde op multi-stage droppers.
  • Oriole (juni 2023 tot september 2024) - Gebruikt het C2-rootdomein w8510.com en de bijbehorende subdomeinen.

De Canary-campagne is met name opmerkelijk vanwege de focus op ActionTec PK5000-modems, Hikvision IP-camera's, Shenzhen TVT NVR's en ASUS-routers. Het onderscheidt zich door een meerlaagse infectieketen die eerst een bash-script downloadt, dat vervolgens verbinding maakt met een Tier 2-payloadserver om Nosedive en een bash-script in de tweede fase op te halen.

Autoriteiten ondernemen actie tegen de Raptor-trein en de Flax-tyfoon

Het Amerikaanse ministerie van Justitie (DoJ) heeft de verwijdering van het Raptor Train-botnet aangekondigd na een door de rechtbank geautoriseerde rechtshandhavingsoperatie. Het DoJ heeft de Flax Typhoon-dreigingsactor gekoppeld aan een beursgenoteerd bedrijf in Beijing, genaamd Integrity Technology Group.

Dit malwarenetwerk verbond duizenden geïnfecteerde apparaten met een botnet dat werd beheerd door de Integrity Technology Group. Het werd gebruikt om bedreigende cyberactiviteiten uit te voeren, vermomd als regulier internetverkeer vanaf de geïnfecteerde apparaten.

Tijdens de operatie nam de wetshandhaving de infrastructuur van de aanvallers in beslag en gaf ze uitschakelende opdrachten aan de malware op geïnfecteerde apparaten. De dreigingsactoren probeerden deze poging te dwarsbomen door een DDoS-aanval uit te voeren op de servers die door de Federal Bureau of Investigation (FBI) werden gebruikt om het gerechtelijk bevel uit te voeren, maar deze pogingen waren niet succesvol.

Volgens het DoJ exploiteerde Integrity Technology Group een online applicatie waarmee klanten konden inloggen en gecompromitteerde apparaten konden besturen. Deze applicatie, genaamd 'KRLab' en op de markt gebracht onder het toonaangevende publieke merk van Integrity Technology Group, bevatte een tool genaamd 'vulnerability-arsenal' voor het uitvoeren van schadelijke cybercommando's.

In juni 2024 was het botnet gegroeid tot meer dan 260.000 apparaten, met slachtoffers in Noord-Amerika (135.300), Europa (65.600), Azië (50.400), Afrika (9.200), Oceanië (2.400) en Zuid-Amerika (800).

Bovendien werden meer dan 1,2 miljoen records van gecompromitteerde apparaten gevonden in een MySQL-database die werd gehost op een Tier 3-beheerserver. Deze server werd beheerd via de Sparrow-applicatie, werd gebruikt om het botnet en C2-servers te besturen en bevatte een module voor het exploiteren van computernetwerken met behulp van zowel bekende als zero-day-kwetsbaarheden.

Trending

Meest bekeken

Bezig met laden...