Компания Black Lotus Labs обнаружила крупный многоуровневый ботнет, который они называют Raptor Train и который управляется китайскими злоумышленниками, отслеживаемыми Microsoft как Flax Typhoon. Ботнет состоит из устройств малого офиса/домашнего офиса (SOHO) и IoT, и на пике своего развития в июне 2023 года он насчитывал более 60 000 активно взламываемых устройств.
Raptor Train Botnet
С июня было взломано более 200 000 SOHO-маршрутизаторов, NVR/DVR-устройств, серверов сетевого хранения данных (NAS) и IP-камер, что делает его одним из крупнейших IoT-ботнетов, обнаруженных на сегодняшний день китайским государством. Операторы ботнета управляют этой большой и разнообразной сетью с помощью ряда распределенных серверов полезной нагрузки и C2, централизованного бэкэнда Node.js и кроссплатформенного фронтэнда приложений Electron, который окрестили «Sparrow».
Ботнет атаковал организации в США и Тайване в различных секторах, включая армию, правительство, высшее образование, телекоммуникации, оборонно-промышленную базу и ИТ. Ботнет Raptor Train представляет собой сложную многоуровневую сеть, которая развивалась в течение последних четырех лет. Black Lotus Labs наблюдала как минимум три уровня активности и несколько категорий внутри каждого уровня. Во время операций задания ботам инициируются с управляющих узлов «Sparrow» уровня 3, которые затем направляются через соответствующие C2 уровня 2, а затем передаются самим ботам на уровень 1. Основной имплант, наблюдаемый на большинстве узлов уровня 1, который Black Lotus Labs называет «Nosedive», является пользовательской вариацией импланта Mirai, который поддерживается во всех основных архитектурах SOHO и IoT.
Indicators of Compromise
Domains
- abpi.b2047.com
- acgtjkiufde.b2047.com
- amushuvfikjas.b2047.com
- b2047.com
- dfgh.k3121.com
- oklm.b2047.com
- wsxe.k3121.com