Im Rahmen der Cyberspionage-Kampagne von Lapdogs Haben Cybersecurity-Experten Zahlreiche Komprotierte Small-Office- und Home-Office-Geräten Entdeckt.
Cybersecurity-Experten Haben Ein Netzwerk von Mehr ALS 1.000 KOMPROMITTTIERTEN SMALM-OFFICE-UND Home-Office-Meräten (SOHO) Entdeckt. Die Dispositions Wurden Laut Den Experten Dazu Genutzt, Eine Langwierige Cyberspionage-infrastrukturkampagne für Chinesische Hacker-Gruppen Zu Ertöglichen.
Shortleash als zentral schadsoftware
Das Strike-Team von SecurityScorecard Entdeckte Das Dazugehörige Operational-Relay-Box (ORB) -Netzwerk und gab ihm den namen lapdogs. Bei der Analyze Fanden Die Forschenden Heraus, Dass Die Opfer Vor Allem Aus den Usa und Südostasien Stammten. Besonders Betroffen Waren Japon, Südkorea, Hongkong et Taïwan. Die malware scheint dabei vor allem bei chinesischen hackern croybt gewesen zu sein, wie berichte von check point, sygnia und Sentinelone Zeigen.
Die schadsoftware shortleash steht dabei im zentrum der lapdogs-kampagne, wie die experten herausfanden. SIE INFIZIERERT VOR ALLEM LINUX-BASierte Soho-Geräte über Bekannte Schwachstellen, Sogenannte N-Day-exploits. Dabei Tarnt Sie sich mit einem gefälschten nginx-webserver Sowie Einem Selbstssignierten Zertifikat, Welches Fälschlicherwerweise Vom Los Angeles Police Department (LAPD) Stammen Soll. Eine Windows-Version der Backdoor existier eBenfalls und wird laut den experten vermutlich über ein shell-skript verbreitet.
Kleine Chargen, Viele Antriffe
Erste Aktivitäten der Lapdogs-Kampagne Wurden AM 6. Septembre 2023 à Taiwan Entdeckt, Gefolgt von Einem Weiteren angriff im Januar 2024. Die AttaCen Erfolgten Dabei Offenbar à Kleinen Charin Mit Maximal 60 Infizizten Geräten. INSGESAMT Identifizierten Die Experten Bislang 162 Solcher Kampagnen.
Sie Entdeckten auch, dass die meisten zertifikate innerhalb einer grruppe im abstand von weniger als zwei sekunden generiert wurden. Das Lässt Laut Securityscorecard Darauf Schließen, Dass Es Sich um automatisierte angriffe anstatt um manuelle infektionen handelt.
Diese ähneln Dem Cluster „Polaredge”, das ebenfalls iot-sicherheitslücken Ausnutzt. Trotz überschneidungen gelten lapdogs und polarenge aber als getrenne gruppen, da sich ihre infektionsmethoden und ziele unterscheiden. Die Experten von Securityscorecard Halten Fest, Dass Die Polaredge-Backdoor Das CGI-Skript der Geräte Durch Die Vom Betreiber Festgelegte Webhell Ersetzt.
Chinesische Meldung Bei Fehler
Shortleash füge sich dagegen lediglich als .service-datei in das systemverzeichnis ein und sorge dafür, dass der dienst nach einem neustart mit root-rechten weiterlaufe. Hierfür überprüft die malware, ob auf dem système ubuntu oder centos läuft, und installer sich dann entsprechend.
Installation de Nach der Benennt Das Skript Einen Systemdienst Um und ersetzt ihn, Damit er Verborgen und dauerhaft bleibt. Hiermit Stellt der Eindringling Sicher, Dass er Bei Jedem Neustart Ausgeführt Wird. Wird das betriebsSystem Allerdings Nicht erkannt, zeigt es eine medung in Mandarin mit dem
Die Experten Vermuten Zudem, Dass Die Mit China Verbundene und als UAT-5918 Bekannte Hackergruppe Lapdogs Bei MindEStens Einer ihrer auf Taiwan Gerichteten Operationn Eingesesetzt Hat. EST ALLERDINGS NICHT BEKANNT, OB UAT-5918 CHINTER DEM NETZWERK STECKT ODER NUR EIN Client Ist.
ANGRIFFE AUF NAMHAFTE Hersteller Aus Einer Hand
Bei den aufgedeckten angriffen Konzentrieten die kriminellen sich vor allem auf Geräte aus den Bereichen it, netzwerke, immobilien und medien. Hersteller Waren Unter Anderem Namhafte Marken Wie Asus, Cisco-Linksys, D-Link und Microsoft.
Die Experten Warnen Allerdings Auch, Dass Das Netzwerk Stetig Wächst, Da Die Infektion Nur von der Kompatibilität Mit Dem Betriebssystem Abhängt und Nicht von der Hardware. Das Mache Viele Soho-Geräte Anfällig, Wobei Die Systeme, auf denen Dienste Wie Goahead-webanwennungen Besonders Gefährdet Seien.
