Dreigingsjagers hebben een netwerk ontdekt van meer dan 1.000 gecompromitteerde kleine Office and Home Office (SOHO) -apparaten die zijn gebruikt om een langdurige cyberspionage-infrastructuurcampagne voor hackinggroepen van China-Nexus te vergemakkelijken.
Het Operational Relay Box (ORB) -netwerk is gecodeerd Lapdogs door het stakingsteam van SecurityScoreCard.
“Het LaPdogs -netwerk heeft een hoge concentratie slachtoffers in de Verenigde Staten en Zuidoost -Azië, en groeit langzaam maar gestaag in omvang”, zei het cybersecuritybedrijf in een technisch rapport dat deze week is gepubliceerd.
Andere regio’s waar de infecties voorkomen, zijn Japan, Zuid -Korea, Hong Kong en Taiwan, met slachtoffers die het overspannen, netwerken, onroerend goed en mediasectoren. Actieve infecties omvatten apparaten en services van Ruckus Wireless, Asus, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic en Synology.
Het kloppende hart van Lapdogs is een aangepaste achterdeur genaamd Shortleash die is ontworpen om geïnfecteerde apparaten in het netwerk in te schakelen. Eenmaal geïnstalleerd, stelt het een nep Nginx-webserver in en genereert het een uniek, zelfondertekend TLS-certificaat met de naam “LAPD” van de emittent in een poging om zich voor te doen als de politie van Los Angeles. Het is deze referentie die het ORB -netwerk zijn naam heeft gegeven.
Shortleash wordt beoordeeld als geleverd door middel van een shell-script om voornamelijk op Linux gebaseerde SOHO-apparaten te penetreren, hoewel artefacten die een Windows-versie van de achterdeur bedienen, ook zijn gevonden. De aanvallen zelf bewapenen N-Day beveiligingskwetsbaarheden (bijv. CVE-2015-1548 en CVE-2017-17663) om initiële toegang te verkrijgen.
De eerste tekenen van activiteit met betrekking tot lapdogs zijn al in 6 september 2023 in Taiwan gedetecteerd, met de tweede aanval vier maanden later, op 19 januari 2024. Er zijn aanwijzingen dat de campagnes in batches worden gelanceerd, die elk niet meer dan 60 apparaten infecteren. Tot op heden zijn in totaal 162 verschillende inbraaksets geïdentificeerd.
De bol is gevonden om enkele overeenkomsten te delen met een ander cluster dat PolaredGe wordt genoemd, dat eerder in februari door Sekoia werd gedocumenteerd als het exploiteren van bekende beveiligingsfouten in routers en andere IoT-apparaten om ze sinds eind 2023 in een netwerk te corrigeren voor een aspeter geïmeteerd doel.
De overlappingen opzij, lapdogs en polaredge worden beoordeeld als twee afzonderlijke entiteiten, gezien de verschillen in het infectieproces, de gebruikte persistentiemethoden en het vermogen van de eerste om zich ook te richten op virtuele privéservers (VPSS) en Windows -systemen.
“Terwijl Polaredge Backdoor het CGI-script van de apparaten vervangt door de aangewezen Webshell van de operator, voegt Shortleash zich alleen in de systeemmap als een .service-bestand toe, waardoor de volharding van de service bij opnieuw opstarten, met rootniveau-privileges,” merkte SecurityScorecard op.
Wat meer is, het is met gemiddeld vertrouwen gemeten dat de China-gekoppelde hackingploeg volgde als UAT-5918 Lapdogs gebruikte in ten minste een van zijn operaties gericht op Taiwan. Het is momenteel niet bekend of UAT-5918 achter het netwerk zit of slechts een klant is.
Het gebruik van ORB -netwerken door Chinese dreigingsactoren als middel voor verduistering is eerder gedocumenteerd door Google Mandiant, Sygnia en Sentinelone, wat aangeeft dat ze in toenemende mate in hun playbooks worden aangenomen voor zeer gerichte operaties.
“Hoewel zowel orbs als botnets gewoonlijk bestaan uit een grote set gecompromitteerde, legitieme op internet gerichte apparaten of virtuele diensten, lijken ORB-netwerken meer op Zwitserse legermessen, en kunnen bijdragen aan elk stadium van de indringing levenscyclus, van verkenning, geanonimiseerde acteur browsen en netflow-collection van poort en vulling scannen, initiatie door te keuren, initiatief. Servers en het doorgeven van geëxfiltreerde gegevens in de stream, “zei SecurityScoreCard.
