Raptor Train Botnet

サイバーセキュリティ研究者は、侵害された小規模オフィス/ホームオフィス (SOHO) およびモノのインターネット (IoT) デバイスで構成される新しいボットネットを特定しました。このボットネットは、Flax Typhoon (別名 Ethereal Panda または RedJuliett) として知られる中国の国家レベルの脅威グループによって制御されていると考えられています。

研究者らはこのボットネットを「Raptor Train」と名付けた。このボットネットは少なくとも2020年5月から活動しており、2023年6月までに侵入されたデバイスの数が6万台に達しピークに達した。

現在までに、SOHO ルーター、NVR/DVR システム、ネットワーク接続ストレージ (NAS) サーバー、IP カメラなど 20 万台を超えるデバイスが Raptor Train に乗っ取られており、中国に関連する最大の国家支援 IoT ボットネットの 1 つとなっています。

専門家はラプター列車が20万台以上のデバイスに影響を与えたと推定

ボットネットのインフラストラクチャは、開始以来、数十万台のデバイスを侵害してきたと考えられています。ボットネットは、3 層アーキテクチャを使用して動作します。

ティア 1: 侵害された SOHO および IoT デバイス

ティア2: エクスプロイトサーバー、ペイロードサーバー、コマンドアンドコントロール(C2)サーバー

ティア 3: 集中管理ノードと、Sparrow と呼ばれるクロスプラットフォームの Electron アプリケーション インターフェース (Node Comprehensive Control Tool、または NCCT とも呼ばれる)

この設定では、ボット タスクは Tier 3 の「Sparrow」管理ノードから開始され、Tier 2 の C2 サーバーを経由してルーティングされ、最終的にボットネット ネットワークの大部分を占める Tier 1 のボットに配信されます。

標的となるデバイスには、ActionTec、ASUS、DrayTek、Fujitsu、Hikvision、Mikrotik、Mobotix、Panasonic、QNAP、Ruckus Wireless、Shenzhen TVT、Synology、Tenda、TOTOLINK、TP-LINK、Zyxel など、さまざまなメーカーのルーター、IP カメラ、DVR、NAS システムが含まれます。

ティア 1 ノードのほとんどは、米国、台湾、ベトナム、ブラジル、香港、トルコの場所に追跡されています。各ノードの平均寿命は 17.44 日であり、脅威アクターは必要に応じてデバイスを簡単に再感染できることを示唆しています。

ラプタートレイン攻撃連鎖の詳細

多くの場合、オペレーターは再起動後も存続する永続性メカニズムを実装していません。しかし、ボットネットの永続性は、さまざまな脆弱な SOHO および IoT デバイスで利用可能な広範なエクスプロイトと、オンライン上のそのようなデバイスの数が多いことによってサポートされており、Raptor Train に一種の「固有の」永続性を与えています。

ノードは、この目的のために特別に設定された Tier 2 ペイロード サーバーを介して、Mirai ボットネットのカスタム バリアントである Nosedive と呼ばれるメモリ内インプラントに感染します。この ELF バイナリにより、コマンドの実行、ファイルのアップロードとダウンロード、および DDoS 攻撃が可能になります。

ティア 2 ノードは約 75 日ごとにローテーションされ、主に米国、シンガポール、英国、日本、韓国にあります。C2 ノードの数は、2020 年から 2022 年の間に約 1 ～ 5 個であったのに対し、2024 年 6 月から 8 月の間には少なくとも 60 個に増加しています。

これらの Tier 2 ノードは多用途で、エクスプロイトおよびペイロード サーバーとして機能するだけでなく、標的エンティティの偵察を容易にし、新しいデバイスをボットネットに組み込むこともできます。

複数のラプター列車攻撃作戦が発覚

2020 年半ば以降、進化を続ける Raptor Train ボットネットに関連して、少なくとも 4 つの異なるキャンペーンが発生しており、それぞれルート ドメインと標的デバイスが異なります。

• Crossbill (2020 年 5 月から 2022 年 4 月) - C2 ルート ドメイン k3121.com とその関連サブドメインを利用しました。
• Finch (2022 年 7 月から 2023 年 6 月) - C2 ルート ドメイン b2047.com と関連する C2 サブドメインを使用しました。
• カナリア（2023 年 5 月から 2023 年 8 月） - C2 ルート ドメイン b2047.com とそのサブドメインも使用しましたが、多段階ドロッパーに依存していました。
• Oriole (2023 年 6 月から 2024 年 9 月) - C2 ルート ドメイン w8510.com とその関連サブドメインを利用しました。

Canary キャンペーンは、ActionTec PK5000 モデム、Hikvision IP カメラ、Shenzhen TVT NVR、ASUS ルーターをターゲットにしていることが特に注目に値します。このキャンペーンは、最初に bash スクリプトをダウンロードし、次に Tier 2 ペイロード サーバーに接続して Nosedive と第 2 段階の bash スクリプトを取得するという、多層的な感染チェーンが特徴です。

当局は猛禽類列車と亜麻台風に対して行動を起こす

米国司法省（DoJ）は、裁判所の許可を得た法執行活動の結果、Raptor Train ボットネットの閉鎖を発表した。司法省は、Flax Typhoon の脅威アクターと、北京に拠点を置く上場企業 Integrity Technology Group との関連を指摘した。

このマルウェア ネットワークは、何千台もの感染デバイスを Integrity Technology Group が管理するボットネットに接続しました。このボットネットは、感染デバイスからの通常のインターネット トラフィックを装って、脅威となるサイバー活動を実行するために使用されました。

作戦中、法執行機関は攻撃者のインフラを押収し、感染したデバイス上のマルウェアを無効にするコマンドを発行しました。脅威アクターは、連邦捜査局 (FBI) が裁判所命令を執行するために使用するサーバーに対して DDoS 攻撃を開始することで、この取り組みを妨害しようとしましたが、これらの試みは失敗しました。

司法省によると、Integrity Technology Group は、顧客がログインして侵害されたデバイスを制御できるオンライン アプリケーションを運営していた。Integrity Technology Group の主要パブリック ブランドで販売されている「KRLab」という名のこのアプリケーションには、有害なサイバー コマンドを実行するための「vulnerability-arsenal」と呼ばれるツールが含まれていた。

2024年6月までに、ボットネットは26万台以上のデバイスに拡大し、被害者は北米（135,300台）、ヨーロッパ（65,600台）、アジア（50,400台）、アフリカ（9,200台）、オセアニア（2,400台）、南米（800台）に分布していました。

さらに、Tier 3 管理サーバーでホストされている MySQL データベースで、侵害されたデバイスの 120 万件を超えるレコードが見つかりました。このサーバーは Sparrow アプリケーションで管理され、ボットネットと C2 サーバーを制御するために使用され、既知およびゼロデイの脆弱性の両方を使用してコンピュータ ネットワークを悪用するためのモジュールが含まれていました。