新的 KV-Botnet 针对 Cisco、DrayTek 和 Fortinet 设备进行隐形攻击
2023-12-18 10:41:8 Author: hackernews.cc(查看原文) 阅读量:19 收藏

由 Cisco、DrayTek、Fortinet 和 NETGEAR 的防火墙和路由器组成的新僵尸网络正被用作高级持续性威胁(APT)攻击者的秘密数据传输网络,其中包括与某国有关的名为Volt Typhoon(伏特台风)的黑客组织。

文章

KV-botnet僵尸网络逻辑网络图

该组织被 Lumen Technologies 的 Black Lotus Labs 团队称为 KV-botnet,该恶意网络是两个互补活动集群的合并,这些集群具有至少自 2022 年 2 月以来一直处于活跃状态。

Black Lotus Labs 团队的技术报告中写道:

“该活动感染网络边缘设备,该部分已成为许多企业防御阵列中的软肋,并且由于近年来向远程工作的转变而变得更加复杂。”

这两个集群(代号为 KV 和 JDY)据称各不相同,但同时协同工作,以方便接触知名受害者并建立秘密基础设施。遥测数据表明,该僵尸网络是从某国的 IP 地址中获取的。

虽然 JDY 的机器人部分使用不太复杂的技术进行更广泛的扫描,但 KY 组件主要以过时和报废产品为特色,据评估保留用于针对前者选择的引人注目的目标进行手动操作。

人们怀疑 Volt Typhoon 至少是 KV 僵尸网络的一个用户,并且它包含其运营基础设施的一个子集,2023 年 6 月和 7 月初的运营量明显下降就证明了这一点,这与公开披露的情况一致敌对集体针对美国关键基础设施的攻击。文章

恶意软件安装流程

揭露攻击者策略的微软公司表示:该组织通过受感染的小型办公室和家庭办公室 (SOHO) 网络设备(包括路由器、防火墙和 VPN 硬件)的流量隐蔽通信,“尝试通过路由融入正常网络活动”。

用于破坏设备的确切初始感染机制过程目前尚不清楚。接下来,第一阶段的恶意软件会采取措施删除安全程序和其他恶意软件,以确保它是“唯一存在”的恶意软件。

它还设计用于从远程服务器检索主要有效负载,该服务器除了向同一服务器发送信标之外,还能够上传和下载文件、运行命令以及执行其他模块。

在过去的一个月里,该僵尸网络的基础设施进行了改造,以安讯士 IP 摄像机为目标,这表明运营商可能正在为新一波的攻击做好准备。

“这次活动的一个相当有趣的方面是,所有工具似乎都完全驻留在内存中。”研究人员说。“这使得检测变得极其困难,代价是长期持续存在。

由于恶意软件完全驻留在内存中,因此最终用户只需重新启动设备即可停止感染。虽然这消除了迫在眉睫的威胁,但再次感染仍然经常发生。”

调查结果发布之际,《华盛顿邮报》报道称,过去一年中,美国有数十个关键实体遭到Volt Typhoon黑客组织的渗透,其中包括电力和供水设施以及通信和运输系统。

研究人员称,黑客经常通过家庭或办公室路由器等无害设备进行攻击,然后再到达受害者,从而掩盖他们的踪迹。


转自 “会杀毒的单反狗” ,原文链接:https://mp.weixin.qq.com/s/NIsadqksKElBGDuygngBNw?from=industrynews&version=4.1.15.6007&platform=win

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/48161
如有侵权请联系:admin#unsafe.sh