Lapdogs Hackers, gizli saldırılar için özel arka kapı kullanarak 1.000 Soho cihazından ödün veriyor

SecurityScorecard’daki güvenlik araştırmacıları, dünya çapında 1000’den fazla cihazdan ödün veren sofistike bir altyapı olan Lapdogs Operasyonel Röle Kutusu (ORB) ağı tarafından düzenlenen genişleyen bir siber-durum kampanyası ortaya çıkardılar.

Çin-Nexus tehdit aktörleri için anahtar bir araç olarak tanımlanan LAPDOGS, gizli işlemleri kolaylaştırmak için öncelikle küçük ofis/ev ofis (SOHO) yönlendiricilerini ve IoT cihazlarını, özellikle Linux tabanlı sistemleri hedefler.

En azından Eylül 2023’ten beri aktif olan bu ağ, Caspionage için gizli bir çerçeve oluşturarak cihazlara sızmak için Shortleash adlı özel bir arka kapıdan yararlanıyor.

– Reklamcılık –

Kampanya, ABD, Japonya, Güney Kore, Tayvan ve Hong Kong’da bulunan enfekte olmuş düğümlerin yaklaşık% 90’ının bölgesel hedeflemeye hesaplanmış bir yaklaşımı vurgulayan kritik bölgelere stratejik bir odaklanma gösteriyor.

Kalıcılık ve aldatmacanın teknik diseksiyonu

Lapdogs’un operasyonlarının merkezinde, kalıcılık ve anonimlik sağlamak için tasarlanmış Linux ve Windows sistemleri için varyantlara sahip ısmarlama bir kötü amaçlı yazılım olan Shortleash var.

Dağıtım yapıldıktan sonra, Shortleash, yeniden başlatmalardan kurtulmak için kök ayrıcalıklarını kullanarak, CentOS’u kullanarak, genellikle/etc/systemd/system/ubuntu veya/lib/systemd/systemd/gibi dizinlerde bir sistem hizmeti olarak yükler.

Kötü amaçlı yazılım, konfigürasyonunu çift katmanlı şifreleme şemasıyla şifreler, sertifikalar, özel anahtarlar ve C2 iletişim URL’lerini içeren yükünü gizlemek için benzersiz şifre çözme anahtarları ve UCL benzeri sıkıştırma kullanır.

Meşru bir NGINX web sunucusunu taklit eden Shortleash, kötü niyetli trafiği iyi niyetli aktivite ile harmanlamak için aldatıcı bir taktik olan Los Angeles Emniyet Müdürlüğü (LAPD) tarafından verildiği gibi maskelenen kendi kendine imzalayan TLS sertifikaları üretir.

Güvenlik Scorecard’ın grev ekibi, bu sertifikaları, özellikle tutarlı bir jarm parmak izi (3FD3FD16D3FD3FD2C3FD3FD3FD3FDF20014C17CD598622B) ile izledi.

Genellikle belirli ISS’leri veya coğrafi yerleşimleri hedefleyen 162 farklı saldırı setindeki kötü amaçlı yazılımların metodik dağıtım, fırsatçı botnetlerden farklı hedefe yönelik bir operasyonun altını çizmektedir.

Stratejik sömürü

LAPDOGS, Ruckus Wireless (enfeksiyonların% 55’i) ve Buffalo teknolojisi gibi satıcılardan SOHO cihazlarında yaygın olan ACME mini_httpd gibi hafif web sunucularında CVE-2015-1548 ve CVE-2017-17663 gibi eski güvenlik açıklarını kullanıyor.

Saldırganların Tayvan’ın kritik altyapısına odaklanması, Cisco Talos’un tehdit oyuncusu UAT-5918 raporunda belirtildiği gibi, kısa levha senaryolarındaki Mandarin kodu snippet’leriyle birleştiğinde, Çin-nexus tutulumunun şüphelerini güçlendiriyor.

Botnet’lerin aksine, LAPDOGS hassasiyetle çalışır, nadiren DDO’lar gibi gürültülü saldırılara girer, bunun yerine keşif, veri pessfiltrasyonu ve uzlaşmış düğümler aracılığıyla anonimleştirilmiş tarama yoluyla casusluğa öncelik verir.

Rapora göre, SecurityScorECard, geleneksel uzlaşma göstergelerinin (IOC) izleme gösterilerinin ağın hızlı düğüm rotasyonu ve ölçeği tarafından zayıflatıldığı ve güvenlik ekiplerini ağ çapında tehdit modellemesini benimsemeye çağırdığı konusunda uyarıyor.

LAPDOG’lar metodik olarak genişlemeye devam ettikçe, hedeflenen kampanyaları ortaya çıkaran sertifika düzenleme partileri (örneğin, 26 Kasım 2024’te Japonya’daki 123 cihaz), kuruluşların gömülü cihazların güvence altına alınmasına öncelik vermeli ve hafifletme için grev gibi varlıklarla işbirliği yapmalıdır.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin