Les chasseurs de menaces ont découvert un réseau de plus de 1 000 dispositifs compromis de petit bureau et du Home Office (SOHO) qui ont été utilisés pour faciliter une campagne d’infrastructure de cyber-espionnage prolongée pour les groupes de piratage China-Nexus.
Le réseau de boîte de relais opérationnelle (ORB) a été nommé nommé Lapdogs par l’équipe de grève de SecurityScoreCard.
“Le réseau LAPDOGS a une forte concentration de victimes aux États-Unis et en Asie du Sud-Est, et augmente lentement mais régulièrement”, a déclaré la société de cybersécurité dans un rapport technique publié cette semaine.
Les autres régions où les infections sont répandues incluent le Japon, la Corée du Sud, Hong Kong et Taiwan, les victimes qui s’étalent sur les secteurs, le réseautage, l’immobilier et les médias. Les infections actives couvrent les appareils et les services de Ruckus Wireless, Asus, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic et Synology.
Le cœur battant de Lapdogs est une porte dérobée personnalisée appelée Shortleash qui est conçue pour enrôler les appareils infectés du réseau. Une fois installé, il configure un faux serveur Web Nginx et génère un certificat TLS unique et auto-signé avec le nom de l’émetteur “LAPD” dans le but d’identiter le service de police de Los Angeles. C’est cette référence qui a donné son nom au réseau ORB.
Shortleash est évalué pour être livré au moyen d’un script de shell pour pénétrer principalement les appareils SOHO basés sur Linux, bien que des artefacts servant une version Windows de la porte dérobée aient également été trouvé. Les attaques elles-mêmes ont armé les vulnérabilités de sécurité du jour du jour (par exemple, CVE-2015-1548 et CVE-2017-17663) pour obtenir un accès initial.
Les premiers signes d’activité liés aux lapdogs ont été détectés dès le 6 septembre 2023 à Taïwan, la deuxième attaque enregistrée quatre mois plus tard, le 19 janvier 2024. Il existe des preuves suggérant que les campagnes sont lancées par lots, chacune infecte pas plus de 60 appareils. Un total de 162 ensembles d’intrusion distincts ont été identifiés à ce jour.
L’ORB s’est avéré partager certaines similitudes avec un autre cluster appelé Polaredge, qui a été documenté par Sekoia plus tôt en février comme exploitant des défauts de sécurité connus dans les routeurs et autres dispositifs IoT pour les transformer en réseau depuis la fin 2023 à un but non encore terminé.
Mis à part les chevauchements, les LAPDOGS et Polaredge sont évalués comme deux entités distinctes, compte tenu des différences dans le processus d’infection, des méthodes de persistance utilisées et de la capacité de l’ancien à cibler également des serveurs privés virtuels (VPSS) et des systèmes Windows.
“Alors que Polaredge Backdoor remplace le script CGI des appareils par la cote de Web désignée de l’opérateur, Shortleash s’inserve simplement dans le répertoire système en tant que fichier de service, garantissant la persistance du service lors du redémarrage, avec des privilèges au niveau de la racine”, a noté SecurityScoreCard.
De plus, il a été évalué avec une confiance moyenne que l’équipage de piratage lié à la Chine a suivi UAT-5918 a utilisé des LAPDogs dans au moins une de ses opérations visant Taiwan. On ne sait actuellement pas si l’UAT-5918 est derrière le réseau ou n’est qu’un client.
L’utilisation par les acteurs de la menace chinoise des réseaux ORB comme moyen d’obscurcissement a été précédemment documentée par Google Mandiant, Sygnia et Sentineone, indiquant qu’ils sont de plus en plus adoptés dans leurs livres de jeu pour des opérations très ciblées.
“Alors que les orbes et les botnets consistent généralement en un large ensemble de périphériques ou de services virtuels orientés Internet compromis, les réseaux ORB ressemblent davantage à des couteaux de l’armée suisse et peuvent contribuer à n’importe quelle étape du cycle de vie d’intrusion, de la reconnaissance, des cycles d’actrice anonymisés et de la collecte de Netflow au port et à la vulnérabilité, et à la séance de séjour, à des cycles d’intrusion en réinterrogeant les nœuds de réinstallation dans le port de séjour, et, à la séance de séjour, et à la séance de séjour, et à des séances d’intrusion en réinterrogeant les nœuds de nœuds dans le portage ou, la séjour, les séances de séquence RELATION DES DONNÉES EXFILTRÉES DU STREAT “, a déclaré SecuritySCorEcard.
