Amenazing Hunter ha descubierto una red de más de 1,000 dispositivos de oficina pequeña y del Ministerio del Interior (SOHO) que se utilizan para promover una campaña de infraestructura cibernética a largo plazo para los grupos de piratería de China y Nexus.
La red operacional de Relay Box (ORB) tiene el nombre de Lapdogs con nombre en código del equipo de huelga en SecurityScorecard.
«La red Lapdogs está creciendo lenta y constantemente con víctimas concentradas en los Estados Unidos y el sudeste asiático», dijo la compañía de seguridad cibernética en un informe de tecnología publicado esta semana.
Otras regiones donde las enfermedades infecciosas son comunes incluyen Japón, Corea del Sur, Hong Kong y Taiwán, con las víctimas que lo abarcan, incluidos los sectores de redes, bienes raíces y medios de comunicación. Active Infection proporciona SPAN y servicio a dispositivos y servicios de Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic, Synology.
Beating Heart de Lapdogs es una puerta trasera personalizada llamada Shortleash diseñada para registrar dispositivos infectados con la red. Una vez instalado, establece un servidor web falso de Nginx y genera un certificado TLS único y firmado con el nombre del emisor «LAPD» en un intento por hacerse pasar por la estación de policía de Los Ángeles. Es esta referencia la que le dio a la red ORB su nombre.
Shortleash se califica con los scripts de Shell para infiltrarse en dispositivos SOHO basados en Linux, pero también encontramos artefactos que proporcionan una versión de Windows de la puerta trasera. El ataque en sí en sí armaba las vulnerabilidades de seguridad del día N (como CVE-2015-1548 y CVE-2017-17663) para obtener acceso inicial.
Los primeros signos de actividad relacionados con el Rapdog se remontan a Taiwán el 6 de septiembre de 2023, con un segundo ataque registrado el 19 de enero de 2024. Hay evidencia que sugiere que cada uno comienza en lotes. Hasta la fecha, se han identificado un total de 162 conjuntos de intrusiones diferentes.
Se sabe que los orbes comparten algunas similitudes con otro clúster llamado Polarradege. Sekoia registró esto a principios de febrero de este año, desde finales de 2023, para rodearlos con una red para aprovechar las fallas de seguridad conocidas en enrutadores y otros dispositivos IoT para fines obviamente determinados.
Además de la superposición, Lapdogs y Polardeg se evalúan como dos entidades separadas, teniendo en cuenta las diferencias en los procesos de infección, los métodos de persistencia utilizados y la capacidad de los primeros para dirigirse a los servidores privados virtuales (VPS) y los sistemas de Windows.
«La puerta trasera polared reemplaza los scripts CGI en el dispositivo con el shell web especificado del operador, pero Shortleash simplemente se inserta en el directorio del sistema como un archivo.
Además, el seguimiento de equipos de piratería vinculados chinos vinculados a China se midió con confianza moderada ya que UAT-5918 usó perros RAP en al menos una de sus operaciones dirigidas a Taiwán. Actualmente, no está claro si UAT-5918 está detrás de la red o simplemente un cliente.
Google Mandiant, Sygnia y Sentinelone, lo han documentado el uso de redes de Orb como un medio de ofuscación de los actores de amenaza china, lo que indica que se adoptan cada vez más en los libros de jugadas para sus operaciones altamente específicas.
«Si bien tanto los orbes como los botnets generalmente consisten en un gran conjunto de dispositivos o servicios virtuales orientados a Internet comprometidos y legítimos, las redes de orbes son similares a las cuchillas del ejército suizo, y pueden contribuir a cada etapa del ciclo de vida de intrusión desde el reconocimiento de los actores anónimos, los datos intrusivos de los patinadores intrusivos de las colecciones de redes, vulnerabilidad vulnerabilidad. Vulnerabilidad de seguridad. transmisiones «.
Source link
