由Cisco、DrayTek、Fortinet 和NETGEAR 的防火牆和路由器組成的新殭屍網路正被利用為APT攻擊行為者的隱匿資料傳輸網路,其中包含先前曾對美國關島電信系統發動攻擊的中國駭客組織伏特颱風(Volt Typhoon)。
Lumen Technologies 的Black Lotus Labs 團隊將該殭屍網路稱為KV-botnet,該單位表示KV-botnet背後是兩個相互支持的活動叢集,代號 KY 和 JDY,至少自 2022 年 2 月以來一直處於活躍狀態。KY 和 JDY活動各不相同,卻協同工作,以方便接觸知名受害者並建立秘密基礎設施。遙測數據表明,KV-botnet是從中國的 IP 位址而來。
KV-botnet專門利用企業網路的邊緣設備進行攻擊。JDY 的機器人負責廣泛掃描後,KY大部分攻擊過時和報廢產品。對較顯著的攻擊目標也會進行手動操作。
首先揭露伏特颱風行為的微軟表示,伏特颱風會透過受感染的小型辦公室和家庭辦公室(SOHO) 網路設備,包括路由器、防火牆和VPN 硬體的流量融入正常網路活動。
相關文章:中國駭客入侵關島電信系統,真正目標是台灣?
目前用於破壞設備的確切初始感染機制過程目前尚不清楚。但第一階段的惡意軟體會採取措施刪除安全程式和其他惡意軟體,以確保它是「唯一存在」的惡意軟體在受害機器上。
KV-botnet還設計用於從遠端伺服器檢索主要有效負載,該伺服器除了向同一台伺服器發送信標之外,還能夠上傳和下載檔案、運行命令以及執行其他模組。
在過去的一個月裡,KV-botnet的基礎設施進行了改造,鎖定安訊士(Axis) IP 攝影機為目標,這表明背後運營者可能正在為新一波的攻擊做準備。
研究人員表示,KV-botnet有趣的方面是,所有工具似乎都完全駐留在內存中。這使得檢測變得極其困難,目標是建立長期持續存在。
由於惡意軟體完全駐留在記憶體中,因此最終用戶只需重新啟動裝置即可停止感染。雖然這消除了迫在眉睫的威脅,但再次感染仍然經常發生。
調查結果發布之際,《華盛頓郵報》報道稱,過去一年中,美國有二十個關鍵設施單位實體遭到伏特颱風的滲透,其中包括電力、供水設施以及通訊和運輸系統。
研究人員表示,駭客經常透過家庭或辦公室路由器等無害設備進行攻擊,然後再到達受害者,從而掩蓋攻擊蹤跡。
本文轉載自TheHackerNews。