Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Rețele bot Raptor Train Botnet

Raptor Train Botnet

Până în Mezo în Rețele bot
Tradu in:
Română

Cercetătorii în domeniul securității cibernetice au identificat o nouă rețea botnet constând din dispozitive compromise de birou/birou de acasă (SOHO) și Internet of Things (IoT). Se crede că această rețea bot este controlată de un grup de amenințare a statului național chinez cunoscut sub numele de Flax Typhoon, denumit și Ethereal Panda sau RedJuliett.

Cercetătorii au numit botnetul „Raptor Train”. Este activ cel puțin din mai 2020 și a atins un vârf de 60.000 de dispozitive compromise până în iunie 2023.

Până în prezent, peste 200.000 de dispozitive, inclusiv routere SOHO, sisteme NVR/DVR, servere de stocare atașată la rețea (NAS) și camere IP, au fost deturnate de Raptor Train, ceea ce o face una dintre cele mai mari rețele botnet IoT sponsorizate de stat, legate de China. .

Experții estimează că trenul Raptor a afectat peste 200.000 de dispozitive

Se crede că infrastructura rețelei botnet a compromis sute de mii de dispozitive de la începuturile sale. Funcționează folosind o arhitectură cu trei niveluri:

Nivelul 1: Dispozitive SOHO și IoT compromise

Nivelul 2: servere de exploatare, servere de încărcare utilă și servere de comandă și control (C2)

Nivelul 3: noduri de gestionare centralizată și o interfață de aplicație Electron multiplatformă cunoscută sub numele de Sparrow (numit și Node Comprehensive Control Tool sau NCCT)

În această configurare, sarcinile bot sunt inițiate de la nodurile de gestionare „Sparrow” de nivelul 3, direcționate prin serverele de nivel 2 C2 și, în cele din urmă, livrate către roboții din nivelul 1, care formează majoritatea rețelei botnet.

Dispozitivele vizate includ routere, camere IP, DVR-uri și sisteme NAS de la diverși producători, cum ar fi ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK și Zyxel.

Majoritatea nodurilor de nivel 1 au fost urmărite în locații din SUA, Taiwan, Vietnam, Brazilia, Hong Kong și Turcia. Fiecare nod are o durată medie de viață de 17,44 zile, ceea ce sugerează că actorul amenințării poate reinfecta cu ușurință dispozitivele ori de câte ori este nevoie.

Detalii despre lanțul de atac al trenului Raptor

În multe cazuri, operatorii nu au implementat un mecanism de persistență care să supraviețuiască unei reporniri. Persistența rețelei bot este, totuși, susținută de gama extinsă de exploit-uri disponibile pentru diferite dispozitive vulnerabile SOHO și IoT și de numărul mare de astfel de dispozitive online, oferind Raptor Train un fel de persistență „inerentă”.

Nodurile sunt infectate cu un implant în memorie cunoscut sub numele de Nosedive, o variantă personalizată a rețelei botne Mirai, prin servere de încărcare utilă Tier 2 special configurate în acest scop. Acest binar ELF permite executarea comenzilor, încărcarea și descărcarea fișierelor și atacurile DDoS.

Nodurile de nivel 2 sunt rotite aproximativ la fiecare 75 de zile și sunt localizate în principal în SUA, Singapore, Marea Britanie, Japonia și Coreea de Sud. Numărul de noduri C2 a crescut de la aproximativ 1-5 între 2020 și 2022 la cel puțin 60 între iunie și august 2024.

Aceste noduri de nivel 2 sunt versatile, servind nu numai ca servere de exploatare și de încărcare utilă, ci și facilitând recunoașterea entităților vizate și încorporând noi dispozitive în rețeaua botnet.

Au fost descoperite mai multe campanii de atac cu trenul Raptor

De la jumătatea anului 2020, cel puțin patru campanii distincte au fost asociate cu rețeaua botnet Raptor Train în evoluție, fiecare caracterizată de diferite domenii rădăcină și dispozitive vizate:

  • Crossbill (mai 2020 până în aprilie 2022) - a folosit domeniul rădăcină C2 k3121.com și subdomeniile asociate acestuia.
  • Finch (din iulie 2022 până în iunie 2023) - a folosit domeniul rădăcină C2 b2047.com și subdomeniile C2 aferente.
  • Canary (din mai 2023 până în august 2023) - a folosit, de asemenea, domeniul rădăcină C2 b2047.com și subdomeniile acestuia, dar s-a bazat pe droppers în mai multe etape.
  • Oriole (iunie 2023 până în septembrie 2024) - a utilizat domeniul rădăcină C2 w8510.com și subdomeniile asociate acestuia.

Campania Canary este deosebit de remarcabilă pentru concentrarea pe modemurile ActionTec PK5000, camerele IP Hikvision, NVR-urile Shenzhen TVT și routerele ASUS. Se distinge printr-un lanț de infecție cu mai multe straturi care descarcă mai întâi un script bash, care apoi se conectează la un server de încărcare utilă de nivel 2 pentru a prelua Nosedive și un script bash din a doua etapă.

Autoritățile iau măsuri împotriva trenului răpitori și a taifunului de in

Departamentul de Justiție al SUA (DoJ) a anunțat eliminarea rețelei botnet Raptor Train în urma unei operațiuni de aplicare a legii autorizate de instanță. DoJ a legat actorul amenințării Flax Typhoon de o companie cotată la bursă din Beijing, numită Integrity Technology Group.

Această rețea de malware a conectat mii de dispozitive infectate la un botnet gestionat de Integrity Technology Group. A fost folosit pentru a desfășura activități cibernetice amenințătoare deghizate în trafic de internet obișnuit de la dispozitivele infectate.

În timpul operațiunii, oamenii legii au confiscat infrastructura atacatorilor și au emis comenzi de dezactivare a malware-ului de pe dispozitivele infectate. Actorii amenințărilor au încercat să împiedice acest efort lansând un atac DDoS împotriva serverelor utilizate de Biroul Federal de Investigații (FBI) pentru a executa ordinul judecătoresc, dar aceste încercări au eșuat.

Potrivit DoJ, Integrity Technology Group opera o aplicație online care permitea clienților să se conecteze și să controleze dispozitivele compromise. Această aplicație, denumită „KRLab” și comercializată sub brandul public lider al Integrity Technology Group, includea un instrument numit „vulnerability-arsenal” pentru executarea comenzilor cibernetice dăunătoare.

Până în iunie 2024, rețeaua botnet a crescut la peste 260.000 de dispozitive, victimele fiind situate în America de Nord (135.300), Europa (65.600), Asia (50.400), Africa (9.200), Oceania (2.400) și America de Sud (800).

În plus, peste 1,2 milioane de înregistrări ale dispozitivelor compromise au fost găsite într-o bază de date MySQL găzduită pe un server de management Tier 3. Acest server gestionat prin aplicația Sparrow, a fost folosit pentru a controla botnet-ul și serverele C2 și a inclus un modul pentru exploatarea rețelelor de calculatoare folosind atât vulnerabilități cunoscute, cât și zero-day.

Trending

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Mesaje de avertizare false
29,203
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...