Новая киберугроза: сеть «Комнатные собачки» атакует устройства SOHO на базе Linux
Исследовательская группа STRIKE из компании SecurityScorecard обнаружила новую подозрительную операцию, связанную с сетью операционных ретрансляционных блоков (ORB), получившую название LapDogs или «Комнатные собачки». Эта вредоносная инфраструктура ориентирована преимущественно на устройства малого и домашнего офиса (SOHO) под управлением Linux, активно распространяясь с сентября 2023 года.
География и масштаб атаки
Локализация жертв показывает высокую концентрацию в Соединённых Штатах и регионах Юго-Восточной Азии. Эксперты отмечают постепенное расширение сети LapDogs, что свидетельствует о системном и целенаправленном характере операций.
- Более 1000 активно скомпрометированных устройств по всему миру
- Целевые платформы – преимущественно встроенные устройства SOHO
- Основное внимание – уязвимости старых веб-серверов и устаревших конфигураций
Ключевой элемент: бэкдор ShortLeash
Центральным компонентом инфраструктуры LapDogs является специализированный бэкдор ShortLeash, обеспечивающий устойчивое присутствие в заражённых системах. Для управления устройствами и взаимодействия узлов используется уникальная система самоподписанных TLS-сертификатов с фальсифицированными метаданными.
Одна из важных особенностей ShortLeash – продвинутая тактика маскировки: вредоносный сервис имитирует веб-сервер Nginx, что затрудняет обнаружение.
Для установки бэкдора требуется право root, что дает злоумышленникам привилегии высокого уровня и возможность длительного контроля над устройствами.
Происхождение и методика атаки
Анализ судебных доказательств, включая заметки разработчиков на китайском языке в скриптах запуска ShortLeash, связывает операцию с китайской группой APT. Отличительной чертой LapDogs является структурированный и методичный подход, резко отличающийся от оппортунистических ботнетов.
- Структурированные кампании с чётко определёнными географическими целями
- Проверка и адаптация наборов вторжений в зависимости от характеристик заражённых устройств
- Использование многоуровневой архитектуры узлов для управления и поддержки заражённых систем
- Особый фокус на оборудование производителей Ruckus Wireless и Buffalo Technology
Отличия от других ORB и рекомендации по мониторингу
Хотя поведение LapDogs напоминает другие сетевые структуры ORB, такие как PolarEdge, уникальные тактики, методы и процедуры (TTP) делают эту операцию особенно опасной.
Эксперты подчёркивают, что эффективное обнаружение и мониторинг должны базироваться на:
- Отслеживании специфических отпечатков TLS, связанных с вредоносными сервисами LapDogs
- Фокусе на устройствах с устаревшими или уязвимыми конфигурациями веб-серверов
- Географически адаптированных методах реагирования в зависимости от распределения атак
LapDogs демонстрирует, что современные киберугрозы выходят за рамки обычных ботнетов, сочетая в себе продвинутые технологии уклонения и сложные операционные стратегии. Это требует от специалистов по кибербезопасности повышенного внимания и постоянного мониторинга, особенно в сегменте устройств SOHO на базе Linux.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ сети «Комнатные собачки»: продвинутая APT-операция LapDogs".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
