Raptor Train 僵尸网络
网络安全研究人员发现了一个新的僵尸网络,由受感染的小型办公室/家庭办公室 (SOHO) 和物联网 (IoT) 设备组成。据信,该僵尸网络由一个名为 Flax Typhoon(也称为 Ethereal Panda 或 RedJuliett)的中国民族国家威胁组织控制。
研究人员将该僵尸网络命名为“Raptor Train”。该僵尸网络至少从 2020 年 5 月开始活跃,到 2023 年 6 月,受感染设备数量达到峰值 60,000 台。
迄今为止,Raptor Train 已劫持了超过 200,000 台设备,包括 SOHO 路由器、NVR/DVR 系统、网络附加存储 (NAS) 服务器和 IP 摄像头,使其成为与中国相关的最大的国家支持的 IoT 僵尸网络之一。
目录
专家估计 Raptor Train 已影响超过 200,000 台设备
据信,僵尸网络的基础设施自成立以来已经危害了数十万台设备。它采用三层架构运行:
第 1 层:受到攻击的 SOHO 和 IoT 设备
第 2 层:利用服务器、有效载荷服务器和命令与控制 (C2) 服务器
第 3 层:集中管理节点和跨平台 Electron 应用程序接口 Sparrow(也称为节点综合控制工具,或 NCCT)
在这种设置中,机器人任务从第 3 层“Sparrow”管理节点发起,通过第 2 层 C2 服务器路由,最终传送到第 1 层中的机器人,这些机器人构成了僵尸网络的大多数网络。
目标设备包括来自不同制造商的路由器、IP 摄像机、DVR 和 NAS 系统,例如 ActionTec、ASUS、DrayTek、Fujitsu、Hikvision、Mikrotik、Mobotix、Panasonic、QNAP、Ruckus Wireless、深圳 TVT、Synology、Tenda、TOTOLINK、TP-LINK 和 Zyxel。
大多数一级节点都位于美国、台湾、越南、巴西、香港和土耳其。每个节点的平均寿命为 17.44 天,这意味着威胁行为者可以在需要时轻松重新感染设备。
有关 Raptor Train 攻击链的详细信息
在许多情况下,运营商没有实施重启后仍能继续存在的持久性机制。然而,僵尸网络的持久性得到了各种易受攻击的 SOHO 和 IoT 设备可用漏洞利用范围广泛以及大量此类设备在线的支持,这让 Raptor Train 具有某种“固有”的持久性。
这些节点通过专门为此目的设置的 Tier 2 有效负载服务器感染了名为 Nosedive(Mirai 僵尸网络的自定义变体)的内存植入物。此 ELF 二进制文件允许执行命令、上传和下载文件以及进行 DDoS 攻击。
二级节点大约每 75 天轮换一次,主要位于美国、新加坡、英国、日本和韩国。C2 节点的数量已从 2020 年至 2022 年期间的约 1-5 个增长到 2024 年 6 月至 8 月期间的至少 60 个。
这些 2 级节点功能多样,不仅可以用作利用和有效载荷服务器,还可以协助侦察目标实体并将新设备纳入僵尸网络。
猛禽列车多次袭击行动已被揭露
自 2020 年中以来,不断演变的 Raptor Train 僵尸网络至少涉及四起不同的攻击活动,每起攻击活动都具有不同的根域和目标设备:
- Crossbill(2020 年 5 月至 2022 年 4 月)-利用了 C2 根域 k3121.com 及其相关子域。
- Finch(2022 年 7 月至 2023 年 6 月)-使用了 C2 根域 b2047.com 和相关 C2 子域。
- Canary(2023 年 5 月至 2023 年 8 月)-也使用了 C2 根域 b2047.com 及其子域,但依赖于多阶段投放器。
- Oriole(2023 年 6 月至 2024 年 9 月) - 利用了 C2 根域 w8510.com 及其相关子域。
Canary 活动尤其值得关注,因为它针对的是 ActionTec PK5000 调制解调器、海康威视 IP 摄像机、深圳 TVT NVR 和华硕路由器。它的特点是多层感染链,首先下载一个 bash 脚本,然后连接到第 2 层有效负载服务器以获取 Nosedive 和第二阶段 bash 脚本。
当局采取行动应对猛禽列车和亚麻台风
美国司法部 (DoJ) 宣布,在法院授权的执法行动后,Raptor Train 僵尸网络已被取缔。司法部已将 Flax Typhoon 威胁行为者与一家名为 Integrity Technology Group 的北京上市公司联系起来。
该恶意软件网络将数千台受感染的设备连接到由 Integrity Technology Group 管理的僵尸网络。它被用来伪装成受感染设备的常规互联网流量,进行威胁性的网络活动。
在此次行动中,执法部门查封了攻击者的基础设施,并向受感染设备上的恶意软件发出了禁用命令。威胁行为者试图通过对联邦调查局 (FBI) 用于执行法院命令的服务器发起 DDoS 攻击来阻止这一行动,但这些尝试均未成功。
据美国司法部称,Integrity Technology Group 运营着一款在线应用程序,允许客户登录并控制受感染的设备。这款名为“KRLab”的应用程序以 Integrity Technology Group 领先的公共品牌进行营销,其中包括一款名为“漏洞武器库”的工具,用于执行有害的网络命令。
截至 2024 年 6 月,僵尸网络已发展到超过 260,000 台设备,受害者分布在北美(135,300 台)、欧洲(65,600 台)、亚洲(50,400 台)、非洲(9,200 台)、大洋洲(2,400 台)和南美洲(800 台)。
此外,在托管于 Tier 3 管理服务器上的 MySQL 数据库中发现了超过 120 万条受感染设备的记录。该服务器通过 Sparrow 应用程序进行管理,用于控制僵尸网络和 C2 服务器,并包含一个利用已知漏洞和零日漏洞利用计算机网络的模块。
