Araştırmacılar, 200.000’den fazla küçük ofis ve IoT cihazını tehlikeye atan, Çin devlet destekli büyük bir IoT botnet’i olan “Raptor Train”i keşfetti.
Flax Typhoon tarafından işletilen botnet, kapsamlı ağını yönetmek için gelişmiş bir kontrol sistemi olan “Sparrow”dan yararlanıyordu.
Botnet, DDoS saldırıları ve belirli güvenlik açıklarının hedefli bir şekilde istismar edilmesi potansiyeliyle askeri, hükümet ve BT dahil olmak üzere çeşitli sektörler için önemli bir tehdit oluşturuyordu.
Raptor Train botnet’i, “Sparrow” yönetim düğümleri tarafından kontrol edilen üç katmanlı bir ağdır.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
1. Kademedeki tehlikeye atılmış SOHO/IoT cihazları, 2. Kademedeki istismar sunucuları ve yük sunucuları aracılığıyla özel Mirai varyantı “Nosedive” ile enfekte ediliyor.
2. Kademedeki C2 sunucuları bot aktivitelerini koordine ederken, 3. Kademe yönetim düğümleri tüm operasyonu denetler.
Tespit edilmekten kaçınmak için Nosedive implantları yalnızca hafızada kalıyor ve anti-adli bilişim teknikleri kullanıyor; bu da tehlikeye atılmış cihazların tespit edilmesini ve araştırılmasını zorlaştırıyor.
Saldırganlar, yönlendiriciler, kameralar ve NAS cihazları da dahil olmak üzere çok çeşitli ele geçirilmiş SOHO ve IoT cihazlarını kullanarak, genellikle hem bilinen hem de bilinmeyen güvenlik açıklarına karşı savunmasız olan ve botnet içindeki düğümler gibi davranarak sürekli olarak merkezi komuta ve kontrol (C2) sunucularıyla iletişim halinde olan Tier 1 olarak bilinen büyük bir botnet oluşturuyor.
Çevrimiçi ortamda çok sayıda savunmasız cihaz bulunması nedeniyle saldırganlar, kalıcı mekanizmalar uygulamadan, tehlikeye atılmış cihazları kolayca değiştirebilir ve böylece operasyonları için sürekli bir düğüm kaynağı sağlayabilirler.
2. Seviye, tehlikeye atılmış cihazları kontrol eden ve kötü amaçlı yükler ileten sanal sunuculardan (1. Seviye) oluşurken, sunucuları iki türe ayrılır: birinci aşama genel saldırılar için, ikinci aşama ise gizlenmiş istismarlarla hedefli saldırılar için.
Her ikisi de iletişim için rastgele bir TLS sertifikasıyla 443 portunu kullanır.
3. Seviye, 2. Seviye sunucularını kendi benzersiz sertifikasıyla ayrı bir port (34125) üzerinden yönetir ve 2. Seviye sunucularının sayısı son dört yılda önemli ölçüde artmıştır; bu da genel kötü amaçlı yazılım etkinliğinde bir artış olduğunu göstermektedir.
Sparrow düğümleri olarak bilinen botnet’in 3. Kademe yönetim düğümleri, botnet’in operasyonlarını denetler ve bu sayede 2. Kademe düğümlerinin SSH aracılığıyla manuel yönetimi ve 2. Kademe C2 düğümlerinin TLS bağlantıları aracılığıyla otomatik yönetimi kolaylaştırılır.
NCCT ve Condor da dahil olmak üzere Sparrow düğümleri, botnet operatörlerinin komutları yürütme, dosyaları yükleme/indirme, veri toplama ve DDoS saldırıları başlatma gibi botnet’in çeşitli yönlerini yönetmeleri ve kontrol etmeleri için kapsamlı bir web tabanlı arayüz sağlar.
Raptor Train botnet’i Mayıs 2020’den beri aktif ve Crossbill, Finch, Canary ve SOHO ve IoT cihazlarını hedef alan ve Nosedive adlı Mirai tabanlı bir kötü amaçlı yazılım kullanan Oriole adlı 4 kampanya boyunca taktiklerini geliştirdi.
Katmanlı bir yapı aracılığıyla tehlikeye atılmış cihazlarla iletişim kurar; 3. Katman yönetim düğümleri, 2. Katman C2 sunucularına komutlar gönderir ve bu sunucular da bu komutları 1. Katman enfekte cihazlara iletir.
Black Lotus Labs’a göre botnet operatörlerinin büyük ihtimalle Çin devlet destekli aktörler olduğu ve ABD, Tayvan ve diğer ülkelerdeki kritik altyapıları hedef aldıkları belirtiliyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial