Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Raptor Train Botnet

Raptor Train Botnet

Por Mezo en Redes de bots
Traducir a:
Español

Los investigadores de ciberseguridad han identificado una nueva botnet compuesta por dispositivos de pequeñas oficinas y hogares (SOHO) y de Internet de las cosas (IoT) infectados. Se cree que esta botnet está controlada por un grupo de amenazas chino conocido como Flax Typhoon, también conocido como Ethereal Panda o RedJuliett.

Los investigadores denominaron a la botnet "Raptor Train". Está activa desde al menos mayo de 2020 y alcanzó un pico de 60.000 dispositivos comprometidos en junio de 2023.

Hasta la fecha, más de 200.000 dispositivos, incluidos enrutadores SOHO, sistemas NVR/DVR, servidores de almacenamiento conectado a red (NAS) y cámaras IP, han sido secuestrados por Raptor Train, lo que lo convierte en una de las redes de bots de IoT patrocinadas por estados más grandes vinculadas a China.

Los expertos estiman que el Raptor Train afectó a más de 200.000 dispositivos

Se cree que la infraestructura de la botnet ha comprometido cientos de miles de dispositivos desde su creación. Opera utilizando una arquitectura de tres niveles:

Nivel 1: dispositivos SOHO e IoT comprometidos

Nivel 2: servidores de explotación, servidores de carga útil y servidores de comando y control (C2)

Nivel 3: Nodos de gestión centralizados y una interfaz de aplicación Electron multiplataforma conocida como Sparrow (también llamada herramienta de control integral de nodos o NCCT)

En esta configuración, las tareas de los bots se inician desde los nodos de administración de nivel 3 "Sparrow", se enrutan a través de servidores C2 de nivel 2 y, en última instancia, se envían a los bots de nivel 1, que forman la mayoría de la red de la botnet.

Los dispositivos objetivo incluyen enrutadores, cámaras IP, DVR y sistemas NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel.

La mayoría de los nodos de nivel 1 se han rastreado hasta ubicaciones en EE. UU., Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Cada nodo tiene una vida útil promedio de 17,44 días, lo que sugiere que el actor de amenazas puede reinfectar fácilmente los dispositivos cuando sea necesario.

Detalles sobre la cadena de ataque del tren Raptor

En muchos casos, los operadores no implementaron un mecanismo de persistencia que sobreviva a un reinicio. Sin embargo, la persistencia de la botnet está respaldada por la amplia gama de exploits disponibles para varios dispositivos SOHO e IoT vulnerables y la gran cantidad de dichos dispositivos en línea, lo que le da a Raptor Train una especie de persistencia "inherente".

Los nodos se infectan con un implante en memoria conocido como Nosedive, una variante personalizada de la botnet Mirai, a través de servidores de carga útil de nivel 2 configurados específicamente para este propósito. Este binario ELF permite la ejecución de comandos, la carga y descarga de archivos y los ataques DDoS.

Los nodos de nivel 2 rotan aproximadamente cada 75 días y se encuentran principalmente en EE. UU., Singapur, Reino Unido, Japón y Corea del Sur. La cantidad de nodos C2 ha crecido de aproximadamente 1 a 5 entre 2020 y 2022 a al menos 60 entre junio y agosto de 2024.

Estos nodos de nivel 2 son versátiles y no sólo sirven como servidores de explotación y carga útil, sino que también facilitan el reconocimiento de entidades objetivo y la incorporación de nuevos dispositivos a la botnet.

Se han descubierto múltiples campañas de ataques a trenes Raptor

Desde mediados de 2020, al menos cuatro campañas distintas se han asociado con la botnet en evolución Raptor Train, cada una caracterizada por diferentes dominios raíz y dispositivos objetivo:

  • Crossbill (mayo de 2020 a abril de 2022): utilizó el dominio raíz C2 k3121.com y sus subdominios asociados.
  • Finch (julio de 2022 a junio de 2023) - Empleó el dominio raíz C2 b2047.com y subdominios C2 relacionados.
  • Canary (mayo de 2023 a agosto de 2023): también utilizó el dominio raíz C2 b2047.com y sus subdominios, pero dependió de cuentagotas de varias etapas.
  • Oriole (junio de 2023 a septiembre de 2024) : utilizó el dominio raíz C2 w8510.com y sus subdominios asociados.

La campaña Canary es particularmente notable por su enfoque en los módems ActionTec PK5000, las cámaras IP Hikvision, los NVR Shenzhen TVT y los enrutadores ASUS. Se distingue por una cadena de infección de varias capas que primero descarga un script bash, que luego se conecta a un servidor de carga útil de nivel 2 para obtener Nosedive y un script bash de segunda etapa.

Las autoridades toman medidas contra el tren Raptor y el tifón Flax

El Departamento de Justicia de Estados Unidos (DoJ) ha anunciado el desmantelamiento de la botnet Raptor Train tras una operación de las fuerzas del orden autorizada por un tribunal. El DoJ ha vinculado al actor de la amenaza Flax Typhoon con una empresa con sede en Pekín que cotiza en bolsa llamada Integrity Technology Group.

Esta red de malware conectaba miles de dispositivos infectados a una botnet administrada por Integrity Technology Group y se utilizaba para llevar a cabo actividades cibernéticas amenazantes camufladas como tráfico normal de Internet desde los dispositivos infectados.

Durante la operación, las fuerzas del orden se apoderaron de la infraestructura de los atacantes y emitieron comandos de desactivación del malware en los dispositivos infectados. Los actores de la amenaza intentaron obstaculizar este esfuerzo lanzando un ataque DDoS contra los servidores utilizados por la Oficina Federal de Investigaciones (FBI) para ejecutar la orden judicial, pero estos intentos no tuvieron éxito.

Según el Departamento de Justicia, Integrity Technology Group operaba una aplicación en línea que permitía a los clientes iniciar sesión y controlar los dispositivos comprometidos. Esta aplicación, llamada "KRLab" y comercializada bajo la marca pública líder de Integrity Technology Group, incluía una herramienta llamada "vulnerability-arsenal" para ejecutar comandos cibernéticos dañinos.

En junio de 2024, la botnet había crecido a más de 260.000 dispositivos, con víctimas ubicadas en América del Norte (135.300), Europa (65.600), Asia (50.400), África (9.200), Oceanía (2.400) y América del Sur (800).

Además, se encontraron más de 1,2 millones de registros de dispositivos comprometidos en una base de datos MySQL alojada en un servidor de gestión de nivel 3. Este servidor, gestionado a través de la aplicación Sparrow, se utilizaba para controlar la botnet y los servidores C2 e incluía un módulo para explotar redes informáticas utilizando vulnerabilidades tanto conocidas como de día cero.

Tendencias

Mas Visto

Cargando...