Multi-License Discount Quote
Banta sa Database Mga botnet Raptor Train Botnet

Raptor Train Botnet

Sa pamamagitan ng Mezo sa Mga botnet
Isalin To:
Wikang Filipino

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong botnet na binubuo ng mga nakompromisong small office/home office (SOHO) at Internet of Things (IoT) na device. Ang botnet na ito ay pinaniniwalaan na kinokontrol ng isang Chinese nation-state threat group na kilala bilang Flax Typhoon, na tinutukoy din bilang Ethereal Panda o RedJuliett.

Pinangalanan ng mga mananaliksik ang botnet na 'Raptor Train'. Aktibo na ito simula noong Mayo 2020 at umabot sa pinakamataas na 60,000 nakompromisong device pagsapit ng Hunyo 2023.

Sa ngayon, mahigit 200,000 device, kabilang ang mga SOHO router, NVR/DVR system, network-attached storage (NAS) server, at IP camera, ang na-hijack ng Raptor Train, na ginagawa itong isa sa pinakamalaking IoT botnets na naka-link sa China. .

Tinatantya ng mga Eksperto na Naapektuhan ng Raptor Train ang Mahigit 200,000 Device

Ang imprastraktura ng botnet ay pinaniniwalaan na nakompromiso ang daan-daang libong mga aparato mula noong ito ay nagsimula. Gumagana ito gamit ang isang three-tiered na arkitektura:

Tier 1: Mga nakompromisong SOHO at IoT device

Tier 2: Mga Exploitation server, payload server at Command-and-Control (C2) server

Tier 3: Mga sentralisadong node sa pamamahala at isang cross-platform Electron application interface na kilala bilang Sparrow (tinatawag ding Node Comprehensive Control Tool, o NCCT)

Sa setup na ito, ang mga gawain sa bot ay sinisimulan mula sa Tier 3 na 'Sparrow' management node, na iruruta sa mga Tier 2 C2 server, at sa huli ay inihahatid sa mga bot sa Tier 1, na bumubuo sa karamihan ng network ng botnet.

Kasama sa mga target na device ang mga router, IP camera, DVR, at NAS system mula sa iba't ibang manufacturer gaya ng ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK at Zyxel.

Karamihan sa mga Tier 1 node ay na-trace sa mga lokasyon sa US, Taiwan, Vietnam, Brazil, Hong Kong at Turkey. Ang bawat node ay may average na tagal ng buhay na 17.44 na araw, na nagmumungkahi na madaling ma-reinfect ng threat actor ang mga device kapag kinakailangan.

Mga Detalye Tungkol sa Raptor Train Attack Chain

Sa maraming mga kaso, ang mga operator ay hindi nagpatupad ng isang mekanismo ng pagtitiyaga na nakaligtas sa isang pag-reboot. Ang pananatili ng botnet, gayunpaman, ay sinusuportahan ng malawak na hanay ng mga pagsasamantala na magagamit para sa iba't ibang masusugatan na SOHO at IoT na mga device at ang malaking bilang ng mga naturang device online, na nagbibigay sa Raptor Train ng isang uri ng 'likas na' pagtitiyaga.

Ang mga node ay nahawaan ng isang in-memory implant na kilala bilang Nosedive, isang custom na variant ng Mirai botnet, sa pamamagitan ng Tier 2 payload server na partikular na naka-set up para sa layuning ito. Ang ELF binary na ito ay nagbibigay-daan para sa pagpapatupad ng command, pag-upload at pag-download ng file, at pag-atake ng DDoS.

Ang Tier 2 node ay iniikot nang humigit-kumulang bawat 75 araw at pangunahing matatagpuan sa US, Singapore, UK, Japan at South Korea. Ang bilang ng mga C2 node ay lumaki mula sa humigit-kumulang 1-5 sa pagitan ng 2020 at 2022 hanggang sa hindi bababa sa 60 sa pagitan ng Hunyo at Agosto 2024.

Ang mga Tier 2 node na ito ay versatile, hindi lamang nagsisilbing exploitation at payload server kundi pinapadali din ang reconnaissance ng mga targeted entity at pagsasama ng mga bagong device sa botnet.

Marami nang Raptor Train Attack Campaign ang Natuklasan

Mula noong kalagitnaan ng 2020, hindi bababa sa apat na natatanging campaign ang naiugnay sa umuusbong na botnet ng Raptor Train, bawat isa ay nailalarawan ng iba't ibang root domain at naka-target na device:

  • Crossbill (Mayo 2020 hanggang Abril 2022) - Ginamit ang C2 root domain na k3121.com at ang mga nauugnay na subdomain nito.
  • Finch (Hulyo 2022 hanggang Hunyo 2023) - Gumamit ng C2 root domain na b2047.com at mga kaugnay na C2 subdomain.
  • Canary (Mayo 2023 hanggang Agosto 2023) - Ginamit din ang C2 root domain na b2047.com at ang mga subdomain nito ngunit umasa sa mga multi-stage dropper.
  • Oriole (Hunyo 2023 hanggang Setyembre 2024) - Ginamit ang C2 root domain na w8510.com at ang mga nauugnay nitong subdomain.

Ang Canary campaign ay partikular na kapansin-pansin para sa pagtutok nito sa ActionTec PK5000 modem, Hikvision IP camera, Shenzhen TVT NVR at ASUS router. Ito ay nakikilala sa pamamagitan ng isang multi-layered infection chain na unang nagda-download ng bash script, na pagkatapos ay kumokonekta sa isang Tier 2 payload server upang kunin ang Nosedive at pangalawang yugto ng bash script.

Kumilos ang mga Awtoridad Laban sa Raptor Train at Flax Typhoon

Inanunsyo ng US Department of Justice (DoJ) ang pagtanggal ng Raptor Train botnet kasunod ng isang pinahintulutang operasyon ng pagpapatupad ng batas na pinahintulutan ng korte. Iniugnay ng DoJ ang aktor ng banta ng Flax Typhoon sa isang pampublikong kumpanyang nakabase sa Beijing na tinatawag na Integrity Technology Group.

Ikinonekta ng malware network na ito ang libu-libong infected na device sa isang botnet na pinamamahalaan ng Integrity Technology Group. Ginamit ito upang magsagawa ng mga nagbabantang aktibidad sa cyber na itinago bilang regular na trapiko sa Internet mula sa mga nahawaang device.

Sa panahon ng operasyon, kinuha ng tagapagpatupad ng batas ang imprastraktura ng mga umaatake at naglabas ng mga utos na hindi pagpapagana sa malware sa mga nahawaang device. Tinangka ng mga banta ng aktor na hadlangan ang pagsisikap na ito sa pamamagitan ng paglulunsad ng pag-atake ng DDoS laban sa mga server na ginagamit ng Federal Bureau of Investigation (FBI) upang isagawa ang utos ng hukuman, ngunit hindi nagtagumpay ang mga pagtatangkang ito.

Ayon sa DoJ, ang Integrity Technology Group ay nagpatakbo ng isang online na application na nagpapahintulot sa mga customer na mag-log in at kontrolin ang mga nakompromisong device. Ang application na ito, na pinangalanang 'KRLab' at ibinebenta sa ilalim ng nangungunang pampublikong brand ng Integrity Technology Group, ay may kasamang tool na tinatawag na 'vulnerability-arsenal' para sa pagpapatupad ng mga nakakapinsalang cyber command.

Pagsapit ng Hunyo 2024, ang botnet ay lumaki sa mahigit 260,000 device, na may mga biktima na matatagpuan sa North America (135,300), Europe (65,600), Asia (50,400), Africa (9,200), Oceania (2,400) at South America (800).

Bukod pa rito, mahigit 1.2 milyong talaan ng mga nakompromisong device ang natagpuan sa isang MySQL database na naka-host sa isang Tier 3 management server. Ang server na ito ay pinamamahalaan sa pamamagitan ng Sparrow application, ay ginamit upang kontrolin ang botnet at C2 server at may kasamang module para sa pagsasamantala sa mga network ng computer gamit ang parehong kilala at zero-day na mga kahinaan.

Trending

Pinaka Nanood

Naglo-load...