Raptor Train Botnet
Cybersäkerhetsforskare har identifierat ett nytt botnät som består av komprometterade enheter för små kontor/hemmakontor (SOHO) och Internet of Things (IoT). Detta botnät tros kontrolleras av en kinesisk nationalstatshotgrupp känd som Flax Typhoon, även kallad Ethereal Panda eller RedJuliett.
Forskarna döpte botnätet till "Raptor Train". Den har varit aktiv sedan åtminstone maj 2020 och nådde en topp på 60 000 komprometterade enheter i juni 2023.
Hittills har över 200 000 enheter, inklusive SOHO-routrar, NVR/DVR-system, nätverksanslutna lagringsservrar (NAS) och IP-kameror, kapats av Raptor Train, vilket gör det till ett av de största statligt sponsrade IoT-botnäten kopplade till Kina .
Innehållsförteckning
Experter uppskattar att Raptor-tåget har påverkat över 200 000 enheter
Botnätets infrastruktur tros ha äventyrat hundratusentals enheter sedan starten. Den fungerar med en arkitektur i tre nivåer:
Nivå 1: Kompromissade SOHO- och IoT-enheter
Nivå 2: Exploateringsservrar, nyttolastservrar och Command-and-Control (C2)-servrar
Nivå 3: Centraliserade hanteringsnoder och ett plattformsoberoende Electron-applikationsgränssnitt känt som Sparrow (även kallat Node Comprehensive Control Tool, eller NCCT)
I den här installationen initieras botuppgifter från Tier 3 'Sparrow'-hanteringsnoderna, dirigeras genom Tier 2 C2-servrar och levereras slutligen till botarna i Tier 1, som utgör majoriteten av botnätverkets nätverk.
De riktade enheterna inkluderar routrar, IP-kameror, DVR:er och NAS-system från olika tillverkare som ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK och Zyxel.
De flesta av Tier 1-noderna har spårats till platser i USA, Taiwan, Vietnam, Brasilien, Hongkong och Turkiet. Varje nod har en genomsnittlig livslängd på 17,44 dagar, vilket tyder på att hotaktören enkelt kan återinfektera enheterna när det behövs.
Detaljer om Raptor Train Attack Chain
I många fall har operatörerna inte implementerat en persistensmekanism som överlever en omstart. Botnätets uthållighet stöds dock av det omfattande utbudet av utnyttjande som är tillgängliga för olika sårbara SOHO- och IoT-enheter och det stora antalet sådana enheter online, vilket ger Raptor Train en sorts "inneboende" uthållighet.
Noderna är infekterade med ett in-memory-implantat som kallas Nosedive, en anpassad variant av Mirai-botnätet, genom Tier 2-nyttolastservrar speciellt inställda för detta ändamål. Denna ELF-binär tillåter körning av kommandon, filupp- och nedladdningar och DDoS-attacker.
Nivå 2-noder roteras ungefär var 75:e dag och är huvudsakligen belägna i USA, Singapore, Storbritannien, Japan och Sydkorea. Antalet C2-noder har vuxit från cirka 1-5 mellan 2020 och 2022 till minst 60 mellan juni och augusti 2024.
Dessa Tier 2-noder är mångsidiga och fungerar inte bara som exploaterings- och nyttolastservrar utan också underlättar spaning av riktade enheter och införlivar nya enheter i botnätet.
Flera raptortågattackerkampanjer har upptäckts
Sedan mitten av 2020 har minst fyra distinkta kampanjer associerats med det utvecklande Raptor Train-botnätet, var och en kännetecknad av olika rotdomäner och riktade enheter:
- Crossbill (maj 2020 till april 2022) - Använde C2-rotdomänen k3121.com och dess associerade underdomäner.
- Finch (juli 2022 till juni 2023) - Anställde C2-rotdomänen b2047.com och relaterade C2-underdomäner.
- Canary (maj 2023 till augusti 2023) - Använde även C2-rotdomänen b2047.com och dess underdomäner men förlitade sig på flerstegsdroppare.
- Oriole (juni 2023 till september 2024) - Använde C2-rotdomänen w8510.com och dess associerade underdomäner.
Canary-kampanjen är särskilt anmärkningsvärd för sitt fokus på ActionTec PK5000-modem, Hikvision IP-kameror, Shenzhen TVT NVR och ASUS-routrar. Det kännetecknas av en flerskiktad infektionskedja som först laddar ner ett bash-skript, som sedan ansluter till en nivå 2-nyttolastserver för att hämta Nosedive och ett andrastegs bash-skript.
Myndigheter vidtar åtgärder mot Raptor-tåget och lintyfonen
Det amerikanska justitiedepartementet (DoJ) har meddelat att Raptor Train-botnätet tas bort efter en domstolsgodkänd brottsbekämpande operation. DoJ har kopplat Flax Typhoon-hotet till ett börsnoterat Peking-baserat företag som heter Integrity Technology Group.
Detta skadliga nätverk kopplade tusentals infekterade enheter till ett botnät som hanteras av Integrity Technology Group. Den användes för att utföra hotfulla cyberaktiviteter förklädda till vanlig internettrafik från de infekterade enheterna.
Under operationen beslagtog polisen angriparnas infrastruktur och utfärdade inaktiveringskommandon till skadlig programvara på infekterade enheter. Hotaktörerna försökte hindra denna ansträngning genom att starta en DDoS-attack mot servrarna som användes av Federal Bureau of Investigation (FBI) för att verkställa domstolsbeslutet, men dessa försök misslyckades.
Enligt DoJ drev Integrity Technology Group en onlineapplikation som gjorde det möjligt för kunder att logga in och kontrollera komprometterade enheter. Den här applikationen, som heter "KRLab" och marknadsförs under Integrity Technology Groups ledande offentliga varumärke, inkluderade ett verktyg som heter "sårbarhetsarsenal" för att utföra skadliga cyberkommandon.
I juni 2024 hade botnätet vuxit till över 260 000 enheter, med offer i Nordamerika (135 300), Europa (65 600), Asien (50 400), Afrika (9 200), Oceanien (2 400) och Sydamerika (800).
Dessutom hittades över 1,2 miljoner register över komprometterade enheter i en MySQL-databas på en Tier 3-hanteringsserver. Denna server som hanterades genom Sparrow-applikationen användes för att kontrollera botnät- och C2-servrarna och inkluderade en modul för att utnyttja datornätverk med både kända sårbarheter och nolldagars sårbarheter.
