Investigadores de ciberseguridad han descubierto una botnet nunca antes vista compuesta por un ejército de pequeñas oficinas/oficinas en el hogar (SOHO) y dispositivos IoT. Parece ser operado por un actor de amenazas estatal chino llamado Flax Typhoon (también conocido como Ethereal Panda o RedJuliett).
Se cree que la sofisticada botnet, denominada “Raptor Train” por Black Lotus Labs de Lumen, ha estado en funcionamiento desde al menos mayo de 2020, con dispositivos comprometidos activos a partir de junio de 2023. alcanzó su punto máximo con 60.000 unidades.
“Desde entonces, la botnet Raptor Train se ha apoderado de más de 200.000 enrutadores SOHO, dispositivos NVR/DVR, servidores de almacenamiento conectado a la red (NAS) y cámaras IP, lo que la convierte en una de las botnets de IoT respaldadas por el estado chino más grandes jamás descubiertas. ”, dijo la firma de ciberseguridad en un informe de 81 páginas compartido con The Hacker News.
Se estima que la infraestructura que alimenta la botnet ha capturado cientos de miles de dispositivos desde su formación, y la red funciona con una arquitectura de tres capas:
Nivel 1: dispositivos SOHO/IoT comprometidos Nivel 2: servidores de explotación, servidores de carga útil, servidores de comando y control (C2) Nivel 3: nodos de administración centralizada y servidores multiplataforma llamados Sparrow (también conocido como herramienta de control integral de nodos o NCCT) Electron interfaz de aplicación
Su funcionamiento es que las tareas de los bots se inician desde el nodo de administración “Sparrow” de Nivel 3, se enrutan a través de los servidores C2 de Nivel 2 apropiados y luego se envían a los propios bots de Nivel 1, que constituyen la mayor parte de la botnet.
Los dispositivos objetivo incluyen enrutadores de varios fabricantes, incluidos ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel, cámaras IP. DVR, NAS, etc.
La mayoría de los nodos de Nivel 1 están ubicados geográficamente en Estados Unidos, Taiwán, Vietnam, Brasil, Hong Kong y Türkiye. La vida útil promedio de estos nodos es de 17,44 días cada uno, lo que indica que los actores de amenazas tienen libertad para reinfectar los dispositivos.
“En la mayoría de los casos, los operadores no habían incorporado mecanismos de persistencia para sobrevivir a los reinicios”, señaló Lumen.
“La confianza en el potencial de reexplotación surge de la combinación de exploits ampliamente disponibles para dispositivos SOHO e IoT vulnerables, y la gran cantidad de dispositivos vulnerables en Internet, lo que le da a Raptor Train una especie de sostenibilidad 'intrínseca'. “
Los nodos se infectan con un implante en memoria rastreado como Nosedive, una variante personalizada de la botnet Mirai, a través de un servidor de carga útil de Nivel 2 configurado explícitamente para este propósito. Los binarios ELF tienen la capacidad de ejecutar comandos, cargar y descargar archivos y realizar ataques DDoS.
Los nodos de nivel 2, por otro lado, rotan aproximadamente cada 75 días y están ubicados principalmente en EE. UU., Singapur, Reino Unido, Japón y Corea del Sur. La cantidad de nodos C2 aumentó de aproximadamente 1 a 5 entre 2020 y 2022 a más de 60 entre junio de 2024 y agosto de 2024.
Estos nodos son muy flexibles y sirven como servidores de explotación para incorporar nuevos dispositivos a la botnet, servidores de carga útil y facilitan el reconocimiento de entidades objetivo.
Desde mediados de 2020, ha habido al menos cuatro campañas diferentes asociadas con la botnet Raptor Train en constante evolución, cada una diferenciada por el dominio raíz utilizado y el dispositivo de destino.
Crossbill (mayo de 2020 a abril de 2022) – Uso del dominio raíz C2 k3121.com y subdominios relacionados Finch (julio de 2022 a junio de 2023) – Uso del dominio raíz C2 b2047.com y subdominios C2 relacionados Usando Canary (mayo de 2023 a agosto 2023) – Uso del dominio raíz C2 b2047.com y subdominios C2 asociados (usando cuentagotas de varias etapas) Oriole (junio de 2023 a septiembre de 2024) – Dominio raíz C2 w8510 Uso de .com y subdominios C2 relacionados
La campaña de Canary, que se centró en módems ActionTec PK5000, cámaras IP Hikvision, NVR TVT de Shenzhen y enrutadores ASUS, se destaca por emplear una cadena de infección multicapa única para descargar el script bash de la primera etapa. Este script se conecta al servidor de carga útil de nivel 2 para recuperar Nosedive y el script bash de la segunda etapa.
El nuevo script bash intentará descargar y ejecutar el script bash de la tercera etapa desde el servidor de carga útil cada 60 minutos.
“De hecho, el dominio C2 de la campaña (de los Orioles), w8510.com, se ha vuelto tan prominente entre los dispositivos IoT comprometidos que se incluirá en la clasificación de dominios de Cisco Umbrella antes del 3 de junio de 2024”, dijo Lumen.
“Al menos el 7 de agosto de 2024, este dominio también se incluyó entre el millón de dominios principales de Cloudflare Radar. Los dominios incluidos en esta lista popular pueden evadir las herramientas de seguridad a través de la lista blanca de dominios y esto es preocupante porque a menudo pueden expandir y mantener el acceso y Incluso evadir la detección”.
Hasta el momento, no se han detectado ataques DDoS provenientes de esta botnet, que se ha dirigido a organizaciones estadounidenses y taiwanesas en los sectores militar, gubernamental, de educación superior, de comunicaciones, de bases industriales de defensa (DIB) y de tecnología de la información (TI). que esta botnet se está utilizando como arma para
Además, los robots involucrados en Raptor Train probablemente intentaron explotar los servidores Atlassian Confluence y los dispositivos Ivanti Connect Secure (ICS) en la misma industria, lo que sugiere que se ha producido una actividad de escaneo generalizada.
La conexión con Flax Typhoon, un grupo de hackers con un historial de atacar organizaciones en Taiwán, el sudeste asiático, América del Norte y África, surge de la superposición de huellas de las víctimas, el uso del idioma chino y otras similitudes tácticas.
“Este es un sistema de control robusto de nivel empresarial que se utiliza para administrar hasta 60 servidores C2 y sus nodos infectados en un momento dado”, dijo Lumen.
“El servicio permite la explotación escalable de bots, la gestión de vulnerabilidades y exploits, la gestión remota de la infraestructura C2, la carga y descarga de archivos, la ejecución remota de comandos y los ataques distribuidos de denegación de servicio (DDoS) basados en IoT a escala. , incluida la posibilidad de personalizar.
El FBI desmantela la enorme botnet Flax Typhoon
El Departamento de Justicia de Estados Unidos (DoJ) anunció el miércoles el cierre de la botnet Raptor Train luego de una operación policial autorizada por el tribunal. También anunció que el actor de la amenaza Flax Typhoon es Integrity Technology Group, una empresa que cotiza en bolsa con sede en Beijing.
“El malware conecta miles de dispositivos infectados a una botnet administrada por Integrity Technology Group y realiza actividades cibernéticas maliciosas bajo la apariencia de tráfico normal de Internet desde dispositivos de consumidores infectados. Fue utilizado para este propósito”, dijo el Departamento de Justicia.
Número de dispositivos botnet por país
La operación demostró que, a pesar de los intentos fallidos de los actores de la amenaza de frustrar los esfuerzos de remediación mediante ataques DDoS dirigidos a los servidores utilizados por la Oficina Federal de Investigaciones (FBI) para cumplir con las órdenes judiciales, la infraestructura del atacante fue confiscada para emitir comandos de desactivación del malware. en el dispositivo comprometido.
“La compañía ha creado una aplicación en línea que permite a los clientes iniciar sesión y tomar el control del dispositivo de una víctima infectada en particular. Esto también incluye un menú de comandos cibernéticos maliciosos utilizando una herramienta llamada 'vulnerability-arsenal'”, dijo el Departamento de Justicia. “La aplicación en línea tenía la etiqueta destacada 'KRLab', una de las principales marcas públicas utilizadas por Integrity Technology Group”.
En junio de 2024, la botnet constaba de más de 260.000 dispositivos, con víctimas ubicadas en América del Norte (135.300), Europa (65.600), Asia (50.400), África (9.200) y Oceanía (2.400 unidades) y América del Sur (800). unidades).
En total, se han identificado más de 1,2 millones de registros de dispositivos comprometidos en bases de datos MySQL alojadas en servidores de administración de Nivel 3 utilizados para administrar y controlar botnets y servidores C2 a través de la aplicación Sparrow. Sparrow también incluye módulos que explotan redes informáticas utilizando vulnerabilidades conocidas y de día cero.
Las botnets como KV-Botnet y Raptor Train son servidores proxy ideales porque pueden ser explotados por actores de amenazas para ocultar su identidad al lanzar ataques DDoS o comprometer redes objetivo. Además, como la actividad maliciosa se origina en direcciones IP acreditadas, tiende a evadir las defensas de seguridad de la red.
“El gobierno chino seguirá atacando a sus organizaciones y a nuestra infraestructura crítica, ya sea por sí mismo o de forma encubierta a través de sus agentes”, dijo el director del FBI, Christopher Wray, la agencia de seguridad del gobierno chino. Criticó al Integrity Technology Group, que lleva a cabo la recopilación de inteligencia y el reconocimiento. para los Estados Unidos.
“Al final, como parte de esta operación, identificamos miles de dispositivos infectados y, con permiso judicial, emitimos órdenes para eliminar el malware de esos dispositivos, sacándolos del control chino”.
(Artículo actualizado después de la publicación para incluir detalles de la eliminación asistida por las autoridades).
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/new-raptor-train-iot-botnet-compromises.html
