Los cazadores de amenazas han descubierto una red de más de 1,000 dispositivos de oficinas pequeñas y del Empleo del Interior (SOHO) comprometidos que se han utilizado para allanar una campaña de infraestructura de espionaje cibernético prolongado para los grupos de piratería China-Nexus.
La red de cuadros de relé eficaz (ORB) ha sido reputado en código Laptogs por el equipo de ataque de SecurityScorecard.
“La red Lapdogs tiene una incorporación concentración de víctimas en los Estados Unidos y el sudeste oriental, y está creciendo lenta pero constantemente en su tamaño”, dijo la compañía de seguridad cibernética en un noticia técnico publicado esta semana.
Otras regiones donde prevalecen las infecciones incluyen Japón, Corea del Sur, Hong Kong y Taiwán, con víctimas que lo abarcan, las redes, los riqueza raíces y los sectores de medios. Las infecciones activas abarcan dispositivos y servicios de Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic y Synology.
Beating Heart de Lapdogs es una puerta trasera personalizada emplazamiento Shortleash que está diseñada para enganchar dispositivos infectados en la red. Una vez instalado, establece un servidor web aparente de Nginx y genera un certificado TLS único y firmado con el nombre del emisor “LAPD” en un intento por hacerse advenir por el Sección de Policía de Los Ángeles. Es esta relato la que le ha regalado a la red ORB su nombre.
Se evalúa que Shortleash se entrega mediante un script de shell para penetrar principalmente en los dispositivos SOHO basados en Linux, aunque todavía se han opuesto artefactos que sirven a una lectura de Windows de la puerta trasera. Los ataques en sí mismos conmoonizan las vulnerabilidades de seguridad N-Day (por ejemplo, CVE-2015-1548 y CVE-2017-17663) para obtener el camino auténtico.
Se han detectado los primeros signos de actividad relacionados con los Lapdogs desde el 6 de septiembre de 2023, en Taiwán, con el segundo ataque registrado cuatro meses posteriormente, el 19 de enero de 2024. Hay evidencia que sugiere que las campañas se lanzan en lotes, cada uno de los cuales no infecta más de 60 dispositivos. Hasta la plazo se han identificado un total de 162 conjuntos de intrusos distintos.
Se ha opuesto que el ORB comparte algunas similitudes con otro clúster denominado Polaredge, que fue documentado por Sekoia a principios de febrero como una explotación de defectos de seguridad conocidos en enrutadores y otros dispositivos IoT para acorralarlos en una red desde finales de 2023 para un propósito aún inetetado.
Dejando a un costado las superposiciones, Lapdogs y Polaredge se evalúan como dos entidades separadas, dadas las diferencias en el proceso de infección, los métodos de persistencia utilizados y la capacidad de los primeros para dirigirse todavía a los servidores privados virtuales (VPS) y los sistemas de Windows.
“Si aceptablemente Polaredge Backdoor reemplaza el script CGI de los dispositivos con la red de web designada del cámara, Shortleash simplemente se inserta en el directorio del sistema como un archivo de servicio.
Encima, se ha calificado con la confianza media de que el equipo de piratería vinculado a China rastreó como UAT-5918 usó Lapdogs en al menos una de sus operaciones dirigidas a Taiwán. Actualmente no se sabe si UAT-5918 está detrás de la red o es solo un cliente.
El uso de los actores de amenaza china de las redes ORB como un medio de ofuscación ha sido documentado previamente por Google Mandiant, Sygnia y Sentinelone, lo que indica que están siendo adoptados cada vez más en sus libros de jugadas para operaciones mucho específicas.
“While both ORBs and botnets commonly consist of a large set of compromised, legitimate internet-facing devices or supuesto services, ORB networks are more like Swiss Army knives, and can contribute to any stage of the intrusion lifecycle, from reconnaissance, anonymized actor browsing, and netflow collection to port and vulnerability scanning, initiating intrusion cycles by reconfiguring nodes into staging or even C2 servers, y transmitir datos exfiltrados en la transmisión “, dijo SecurityScorecard.
