- Регистрация
- 27 Февраль 2018
- Сообщения
- 12 752
- Лучшие ответы
- 0
- Reactions
- 0
- Баллы
- 1 293
Offline
Связанная с Китаем группировка создает сеть ретрансляторов, уже насчитывающую более 1000 зараженных устройств. Таким образом злоумышленники маскируют свою инфраструктуру, предназначенную для шпионажа, сообщает SecurityScorecard.
Эта вредоносная кампания получила название LapDogs и началась еще осенью 2023 года. Атаки нацелены на компании, работающие в областях ИТ, медиа, сетевых технологий и недвижимости в США и странах Юго-Восточной Азии (включая Японию, Южную Корею, Гонконг и Тайвань).
Атакующие заражают маршрутизаторы кастомным бэкдором ShortLeash, который обеспечивает им скрытый и долгосрочный доступ к скомпрометированным устройствам.
Исследователи отмечают, что при установке бэкдор может генерировать самоподписанные сертификаты TLS, выдавая себя за «LAPD», то есть департамент полиции Лос-Анджелеса.
Большинство зараженных устройств — это точки доступа Ruckus Wireless, а также беспроводные маршрутизаторы Buffalo Technology AirStation. На этих устройствах работают старые службы SSH, которые уязвимы к проблемам CVE-2015-1548 и CVE-2017-17663.
По мнению экспертов, LapDogs связана с PolarEdge, ORB-сетью (Operational Relay Box), состоящей из более чем 2000 зараженных маршрутизаторов и других IoT-устройств, которая действует как минимум с 2023 года. Однако, несмотря на все совпадения, по-видимому, это разные хакерские операции.
«Взломанные устройства используются для поддержания скрытой и надежной инфраструктуры, а не для проведения шумных и разрушительных атак. Они функционируют как гибкая инфраструктура и могут обеспечивать оперативное прикрытие для вредоносной активности. Скомпрометированные устройства продолжают функционировать как обычно во время кампаний, что может затруднять атрибуцию и обнаружение», — пишут специалисты.
Предполагается, что эта кампания может иметь отношение к активности китайской APT-группировке UAT-5918, которую специалисты Cisco Talos ранее связывали с атаками Volt Typhoon, Flax Typhoon, Earth Estries и Dalbit.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
