資安廠商SecurityScorecard最新研究報告揭露,中國相關威脅行為者正運用一個名為「LapDogs」的大規模殭屍網路,透過ORBs(Operational Relay Boxes, ORBs)對美國和亞洲地區發動精密的網路間諜攻擊。這個威脅網路已成功入侵超過1,000台小型辦公室與家用辦公室(SOHO)設備,包括路由器和物聯網終端設備。
與傳統殭屍網路不同,ORB網路通常會與虛擬私人伺服器結合,創建混淆和合理否認的網路架構。這些網路重新利用日常設備如路由器、IP攝影機和舊式智慧科技設備來穿透網路、收集資料或轉接流量,而不會觸發安全警報。
ShortLeash後門程式:偽裝高手
攻擊活動的核心是「ShortLeash」的客製化後門程式,能夠在受感染設備上維持持續存取權限,並將其連接到ORB網路中。
ShortLeash會建立偽造的Nginx網路伺服器,並生成偽裝成洛杉磯警察局(LAPD)簽發的自簽TLS憑證,企圖誤導調查人員的追蹤方向。
SecurityScorecard的STRIKE團隊透過這個憑證特徵,成功追蹤全球超過1,000個受感染節點。研究人員發現,攻擊活動採用批次發動的模式,憑證會在短時間內大量生成。在某些日子裡,只有單一國家成為攻擊目標;而在其他時候,多個地區會同時遭受攻擊,但所有受感染的節點都使用相同的連接埠號碼。
根據SecurityScorecard的分析,這個從2023年9月開始的攻擊活動,已逐步擴增設備和受害者數量。攻擊主要鎖定美國、日本、南韓、香港和台灣地區的目標,受害者多集中在房地產、資訊科技、網路通訊和媒體等行業。
研究人員成功識別出162個不同的入侵事件集,突顯了這次攻擊活動背後精心的作業規劃。在某些案例中,設備會在兩個IP位址間共享相同憑證,這可能表示存在多個介面或單一設備被用於多種用途。
受害者可能擁有受損的SOHO設備、透過這些設備成為威脅組織網路間諜活動的目標,或者其本地網路透過受損的SOHO設備遭到入侵,在這種情況下設備被用作初始存取向量。
SOHO設備成攻擊首選目標
LapDogs主要鎖定運行過時或未修補韌體的舊式路由器和設備。根據報告分析,約55%的受損硬體來自Ruckus Wireless設備,Buffalo AirStation路由器也是常見目標,特別是在日本地區。
這些設備的共同特徵是使用輕量級網路伺服器如mini_httpd和嵌入式管理工具,這些工具通常以預設設定出貨。部分設備仍在運行2000年代初期的軟體,其他設備則暴露了OpenSSH或DropBear SSH服務。這些設備經常在安全稽核和修補週期中被忽略,使其成為容易攻擊的目標。
ORB網路:中國威脅行為者新戰術
ORB網路已成為中國威脅行為者日益普及的戰術,包括惡名昭彰的Volt Typhoon等組織都在使用這種技術來隱藏指令與控制通訊、規避偵測並複雜化歸因分析。今年2月,Check Point揭露了一個類似網路,專門針對全球「敏感」領域的製造業供應商。一個月後,Sygnia發現了另一個歸因於中國相關Weaver Ant組織的類似網路,專門攻擊電信服務提供商。
SecurityScorecard指出,與LapDogs類似的另一個ORB網路「PolarEdge」共享部分相同的基礎設施,但在戰術技術和憑證管理方面有所不同。
相關文章:PolarEdge 殭屍網路鎖定台灣:華碩、QNAP 和 Synology 設備面臨嚴重威脅
報告中的鑑識證據,包括啟動腳本中的中文開發者註解、工具、技術和程序,以及受害者特徵,都支持這次攻擊活動可歸因於中國相關的進階持續性威脅組織和類似ORB。
思科Talos先前曾識別出一個名為UAT-5918的組織,可能在攻擊台灣關鍵基礎設施時使用了LapDogs基礎設施,但目前尚不清楚UAT-5918是經營LapDogs還是單純使用它。
防護建議與應對策略
SecurityScorecard首席威脅情報官Ryan Sherstobitoff表示,房地產和媒體等行業的資安長應該採取更積極的立場,因為這些行業通常依賴大量第三方管理的邊緣設備,可能產生隱藏的風險。
他建議設備應該配備安全預設值、內建遙測功能和可修補性,像Ruckus和Buffalo AirStation這類在此次攻擊中反覆被入侵的舊式路由器需要逐步淘汰。
在採購和供應商管理實務方面,資安長應要求供應商定期掃描過時服務如mini_httpd或DropBearSSH,並支援集中監控。網路分割政策應明確將SOHO級設備與核心系統分離。
考量到LapDogs的隱蔽特性及其對通常不在終端偵測與回應系統覆蓋範圍內的SOHO設備的鎖定,Sherstobitoff建議資安長應要求託管安全服務提供商和安全營運中心實施被動TLS憑證檢查和JARM指紋匹配,特別標記偽裝成LAPD等實體的獨特自簽憑證和匹配JARM。
網路流量和DNS遙測資料也應該接受檢視,以偵測向
northumbra[.]com等指令控制網域的異常對外流量,而42532或其他不常見的高連接埠在嵌入式或非託管設備上出現時應觸發警報。安全營運中心應建立邊緣設備行為基線,並主動搜尋偽造的Nginx橫幅或意外的網路服務,這些可能表示ShortLeash植入程式的存在。
Sherstobitoff強調,「LapDogs反映了網路威脅行為者在利用分散式、低可見度設備獲得持續存取權限方面的戰略轉變。這些不是機會主義的快速攻擊,而是經過深思熟慮、地理定向的攻擊活動,削弱了傳統威脅指標的價值。」