APT-Gruppen: Viele Router als Teil riesiger Botnetze 

APT-Gruppen: Viele Router als Teil riesiger Botnetze Bild MS-KI

Beitrag teilen

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und diese dadurch zu einem Teil von Botnetzen werden.

Cyberkriminelle und Advanced Persistent Threat (APT)-Akteure haben ein gemeinsames Interesse an Proxy-Anonymisierungsschichten und Virtual Private Network (VPN)-Knoten, weil sie darüber Spuren ihrer Präsenz verbergen und die Entdeckung bösartiger Aktivitäten erschweren können. Dieses Interesse generiert bösartigen Internetverkehr, der finanzielle und spionagebezogene Motive miteinander verbindet.

Übernahme des Router-Botnets

Ein bekanntes Beispiel ist ein cyberkriminelles Botnet (das mindestens seit 2016 in Betrieb ist), das kompromittierte Ubiquiti EdgeRouter-Geräte verwendete und im Januar 2024 vom FBI in Zusammenarbeit mit anderen internationalen Partnern ausgeschaltet wurde. Im April 2022 gelang es der APT-Gruppe Pawn Storm, Zugang zu den Bots in diesem Botnet zu erlangen, um sie dann für seine eigenen anhaltenden Spionagekampagnen zu nutzen. Trend Micro Telemetriedaten sowie die von Drittanbietern zeigen, dass Hunderte von Ubiquiti EdgeRouter-Routern für verschiedene Zwecke eingesetzt wurden, z. B. für Secure Shell (SSH)-Brute-Forcing, pharmazeutischen Spam, den Einsatz von Server Message Block (SMB) Reflectors für NTLMv2-Hash-Relay-Angriffe, die Weiterleitung gestohlener Anmeldedaten auf Phishing-Seiten, Mehrzweck-Proxys, Kryptowährungs-Mining und den Versand von Spear-Phishing-E-Mails.

FBI-Takedown von Netzwerk mit Ubiquiti-Geräten

„Wir schreiben die NTLMv2-Hash-Relay-Angriffe und das Proxying von Anmeldedaten-Phishing Pawn Storm zu, während der pharmazeutische Spam mit der berüchtigten Canadian Pharmacy Gang in Verbindung zu stehen scheint“, so Feike Haquebord, Senior Threat Researcher bei Trend Micro. „Der Takedown durch das FBI war eine gerichtlich genehmigte Aktion, bei der Code und Einstellungen auf Ubiquiti-Geräten geändert wurden. Obwohl sich diese Änderungen rückgängig machen lassen, unterliegen sie sowohl rechtlichen Einschränkungen als auch technischen Herausforderungen. Wahrscheinlich konnten einige der Bots aufgrund dieser Einschränkungen nicht beseitigt werden. Unseren Recherchen zufolge gelang es dem Bedrohungsakteur außerdem, einige der EdgeRouter-Bots von dem abgeschalteten C&C-Server auf eine neu eingerichtete C&C-Infrastruktur Anfang Februar 2024 zu verschieben.“

Dateilose Ngioweb-Malware infiziert EdgeRouter

Nach weiteren Untersuchungen fanden die Security-Forscher einen dritten wichtigen Bedrohungsakteur, der ebenfalls Malware auf EdgeRouter-Geräten ausführt, und zwar die so genannte Ngioweb-Malware im Speicher ohne bösartige Dateien auf der Festplatte. Eine Windows-Version von Ngioweb, die mit Ramnit in Verbindung steht, wurde erstmals 2018 beschrieben, während die Analyse einer Linux-Version später 2019 und 2020 folgte. Sie nutzt mehrere Schichten der C&C-Infrastruktur, um ein Botnet aus Reverse-Proxys zu bilden. Sie fanden außerdem Hinweise darauf, dass die mit Ngioweb-Malware infizierten EdgeRouter als Exit-Knoten in einem kommerziell erhältlichen Residential-Proxy-Botnet verwendet wurden.

APT-Akteure agieren alle mit eigenen Botnetzen

Pawn Storm setzt ein kriminelles Proxy-Botnet eines Drittanbieters für seine Spionageoperationen ein. Dies hat den offensichtlichen Vorteil, dass sich der Spionageverkehr mit anderem kriminellen Internetverkehr vermischt. Mittlerweile haben andere APT-Akteure ihre eigenen dedizierten Botnets verwendet, wie etwa Sandworm in Verbindung mit Cyclops Blink, das aus gehackten Watchguard- und ASUS-Routern bestand und das das FBI und der britischen National Cyber Security Centre (NCSC) 2022 ausschaltete. Andere APT-Akteure wie APT29 (auch bekannt als Midnight Blizzard) nutzen kommerziell verfügbare Proxynetzwerke und beschaffen sich deren Knotenpunkte oft über zwielichtige Methoden. APT29 nutzt auch regelmäßig die mit anderen Cyberkriminellen geteilte Infrastruktur, um Malware und Exploits zu hosten.

Internet-Router sind nach wie vor ein für Kompromittierungen beliebtes Asset bei Bedrohungsakteuren, da sie häufig ein schwaches Sicherheitsmonitoring haben, weniger strenge Passwortrichtlinien, selten aktualisiert werden und leistungsstarke Betriebssysteme verwenden, die die Installation von Malware wie Kryptowährungs-Miner, Proxys, DDoS-Malware, bösartigen Skripts und Webservern ermöglichen.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Endgeräte: Malware nimmt 2024 weiter massiv zu

Ein aktueller Internet Security Report von WatchGuard richtet Augenmerk auf Malware die Endgeräte angreift, etwa die weit verbreitete „Pandoraspear“-Malware, die Smart-TV ➡ Weiterlesen

Aufsteiger 2024: Ransomware-Gruppe 8Base

In einer neuen Analyse widmet sich Trend Micro der Ransomware-Gruppe 8Base. Diese nahm in den ersten Monaten des Jahres 2024 ➡ Weiterlesen

Unternehmen sind Ziel von Cloud-Malware-Angriffen

Ein aktueller Bericht zeigt, dass europäische Unternehmen mehr Malware aus der Cloud erhalten als andere Märkte – obwohl sie im ➡ Weiterlesen

Data Protection: Gute KI gegen böse KI 

Die generative künstliche Intelligenz (KI) verändert die Welt, und zwar grundlegend. Denn KI-Funktionen lassen sich nicht nur zum Datenschutz nutzen, ➡ Weiterlesen

Russische Hacker: Cyberangriffe auf die Demokratie

Ermittlungen haben ergeben, dass die russische Hackergruppe APT28 (Advanced Persistent Threat) auch Fancy Bear, Forest Blizzard oder Pawn Storm genannt, ➡ Weiterlesen

Schwierige Aufgabe: Netzwerksicherheit über mehrere Standorte

Für Unternehmen und seine Sicherheitsverantwortlichen ist Netzwerksicherheit bei verteilten Standorten eine heikle Aufgabe. Wie ein Kaspersky-Report zeigt: mehr als jedes ➡ Weiterlesen

Phishing: Wie KIs Angriffe gefährlicher machen

Bedrohungsakteure nutzen zunehmend generative KI, um ihre Phishing-Kampagnen zu verbessern – das zeigt ein neuer Report von Zscaler. Die Ergebnisse ➡ Weiterlesen

Neue Sicherheitslösung für KI-gestützte Rechenzentren

Trend Micro, einer der weltweit führenden Anbieter von Cybersicherheitslösungen, stellt eine neue Sicherheitslösung für Rechenzentren mit NVIDIA-Technologie für Business- und ➡ Weiterlesen