猛禽列車殭屍網絡

網路安全研究人員發現了一個新的殭屍網絡，由受感染的小型辦公室/家庭辦公室 (SOHO) 和物聯網 (IoT) 設備組成。據信該殭屍網絡由一個名為 Flax Typhoon（也稱為 Ethereal Panda 或 RedJuliett）的中國民族國家威脅組織控制。

研究人員將該殭屍網路命名為「猛禽列車」。它至少自 2020 年 5 月起就一直活躍，到 2023 年 6 月，受感染設備數量達到高峰 60,000 台。

迄今為止，超過20 萬台設備，包括SOHO 路由器、NVR/DVR 系統、網路附加儲存(NAS) 伺服器和IP 攝影機，已被Raptor Train 劫持，使其成為與中國相關的最大的國家支持的物聯網殭屍網路之一。

專家估計 Raptor 列車已影響超過 20 萬台設備

據信，該殭屍網路的基礎設施自成立以來已經危害了數十萬台設備。它使用三層架構來運作：

第 1 層：SOHO 和物聯網設備受損

第 2 層：漏洞利用伺服器、有效負載伺服器和命令與控制 (C2) 伺服器

第 3 層：集中管理節點和跨平台 Electron 應用程式接口，稱為 Sparrow（也稱為節點綜合控制工具，或 NCCT）

在此設定中，機器人任務從第 3 層「Sparrow」管理節點發起，透過第 2 層 C2 伺服器進行路由，最終交付給第 1 層中的機器人，這些機器人構成了殭屍網路的大部分網路。

目標設備包括不同製造商的路由器、IP攝影機、DVR和NAS系統，例如ActionTec、ASUS、DrayTek、Fujitsu、Hikvision、Mikrotik、Mobotix、Panasonic、QNAP、Ruckus Wireless、深圳TVT、Synology、Tenda、TOTOLINK、TP -LINK 和合勤。

大多數一級節點位於美國、台灣、越南、巴西、香港和土耳其。每個節點的平均壽命為 17.44 天，這表明威脅行為者可以在需要時輕鬆地重新感染設備。

有關 Raptor Train 攻擊鏈的詳細信息

在許多情況下，營運商沒有實現重啟後仍然存在的持久性機制。然而，殭屍網路的持久性得到了各種易受攻擊的 SOHO 和物聯網設備的廣泛利用以及大量線上此類設備的支持，從而使 Raptor Train 具有某種「固有」的持久性。

這些節點透過專門為此目的設定的第 2 層有效負載伺服器感染了名為 Nosedive 的記憶體植入程序，這是 Mirai 殭屍網路的自訂變體。該 ELF 二進位檔案允許命令執行、檔案上傳和下載以及 DDoS 攻擊。

二級節點大約每 75 天輪換一次，主要位於美國、新加坡、英國、日本和韓國。 C2 節點的數量已從 2020 年至 2022 年期間的約 1-5 個增加到 2024 年 6 月至 8 月期間的至少 60 個。

這些第 2 層節點用途廣泛，不僅可用作漏洞和有效負載伺服器，還可促進目標實體的偵察並將新裝置納入殭屍網路。

多起猛禽列車攻擊活動已被揭露

自 2020 年中期以來，至少有四個不同的活動與不斷發展的 Raptor Train 殭屍網路相關，每個活動都有不同的根域和目標裝置：

• Crossbill（2020 年 5 月至 2022 年 4 月）-利用 C2 根域 k3121.com 及其相關子域。
• Finch（2022 年 7 月至 2023 年 6 月）-使用 C2 根域 b2047.com 和相關 C2 子域。
• Canary（2023 年 5 月至 2023 年 8 月）-也使用 C2 根域 b2047.com 及其子域，但依賴多階段植入程序。
• Oriole（2023 年 6 月至 2024 年 9 月） - 使用 C2 根域 w8510.com 及其相關子網域。

Canary 活動特別值得注意，因為它重點關注 ActionTec PK5000 數據機、海康威視 IP 攝影機、深圳 TVT NVR 和華碩路由器。它的特點是多層感染鏈，首先下載 bash 腳本，然後連接到第 2 層有效負載伺服器以取得 Nosedive 和第二階段 bash 腳本。

當局對猛禽列車和亞麻颱風採取行動

美國司法部 (DoJ) 宣佈在法院授權的執法行動後取締 Raptor Train 殭屍網路。美國司法部已將亞麻颱風威脅行為者與一家名為 Integrity Technology Group 的北京上市公司聯繫起來。

該惡意軟體網路將數千台受感染設備連接到由 Integrity Technology Group 管理的殭屍網路。它被用來偽裝成來自受感染設備的常規網路流量來執行威脅性網路活動。

在行動期間，執法部門查獲了攻擊者的基礎設施，並向受感染設備上的惡意軟體發出禁用命令。威脅行為者試圖透過對聯邦調查局 (FBI) 用於執行法院命令的伺服器發起 DDoS 攻擊來阻礙這項努力，但這些嘗試都未成功。

據美國司法部稱，Integrity Technology Group 經營一個線上應用程序，允許客戶登入並控制受感染的設備。該應用程式名為“KRLab”，以 Integrity Technology Group 的領先公共品牌進行銷售，其中包括一個名為“vulnerability-arsenal”的工具，用於執行有害的網路命令。

截至2024 年6 月，該殭屍網路已成長至超過26 萬台）、亞洲（5 萬台）、非洲（9,200 台）、大洋洲（2,400 台）及南美洲（800 台）。

此外，在第 3 層管理伺服器上託管的 MySQL 資料庫中發現了超過 120 萬筆受感染設備的記錄。該伺服器透過 Sparrow 應用程式進行管理，用於控制殭屍網路和 C2 伺服器，並包含一個使用已知漏洞和零日漏洞利用電腦網路的模組。