Οι επιτιθέμενοι πίσω από το KV-botnet κάνουν αλλαγές στο κακόβουλο δίκτυό τους, μετά τις ενέργειες των αρχών επιβολής του νόμου των ΗΠΑ για την εξουδετέρωση της δραστηριότητάς του.
Το KV-botnet είναι ένα δίκτυο παραβιασμένων office και home office (SOHO) routers και firewall συσκευών, με ένα συγκεκριμένο σύμπλεγμα που λειτουργεί ως κρυφό σύστημα μεταφοράς δεδομένων για άλλους κινεζικούς φορείς που χρηματοδοτούνται από το κράτος, συμπεριλαμβανομένου του Volt Typhoon (γνωστός και ως Bronze Silhouette, Insidious Taurus ή Vanguard Panda).
Το KV-botnet είναι ενεργό τουλάχιστον από τον Φεβρουάριο του 2022 και περιλαμβάνει δύο κύριες υποομάδες, KV και JDY, με το τελευταίο να χρησιμοποιείται κυρίως για τη σάρωση πιθανών στόχων για reconnaissance.
Δείτε επίσης: FritzFrog botnet: Επέστρεψε και εκμεταλλεύεται τις ευπάθειες Log4Shell και PwnKit
Τον προηγούμενο μήνα, η κυβέρνηση των ΗΠΑ ανακοίνωσε μια εξουσιοδοτημένη από το δικαστήριο προσπάθεια κατάργησης του KV cluster, το οποίο συνήθως προορίζεται για manual operations έναντι στόχων υψηλού προφίλ, που επιλέγονται μετά από σάρωση μέσω του JDY sub-group.
Τώρα, ερευνητές ασφαλείας ανακάλυψαν ότι το JDY cluster έμεινε αδρανές για περίπου δεκαπέντε ημέρες μετά την επιχείρηση των αμερικανικών αρχών.
“Στα μέσα Δεκεμβρίου 2023, παρατηρήσαμε αυτό το σύμπλεγμα δραστηριοτήτων με περίπου 1.500 ενεργά bots“, δήλωσε ο ερευνητής ασφαλείας Ryan English. “Όταν δοκιμάσαμε το μέγεθος αυτού του συμπλέγματος στα μέσα Ιανουαρίου 2024, το μέγεθός του μειώθηκε περίπου στα 650 bots“.
Δεδομένου ότι οι ενέργειες κατάργησης ξεκίνησαν με ένα υπογεγραμμένο ένταλμα που εκδόθηκε στις 6 Δεκεμβρίου 2023, πιθανότατα το FBI άρχισε να μεταδίδει εντολές σε routers που βρίσκονται στις ΗΠΑ μετά από αυτήν την ημερομηνία για να αφαιρέσει το botnet payload και να αποτρέψει την εκ νέου μόλυνσή τους.
“Παρατηρήσαμε ότι οι χειριστές του KV-botnet αρχίζουν να αναδιαρθρώνονται, πραγματοποιώντας οκτώ συνεχόμενες ώρες δραστηριότητας στις 8 Δεκεμβρίου 2023, σχεδόν δέκα ώρες λειτουργίας την επόμενη μέρα στις 9 Δεκεμβρίου 2023, ακολουθούμενες από μία ώρα στις 11 Δεκεμβρίου 2023“, είπε η Lumen.
Κατά τη διάρκεια αυτής της τετραήμερης περιόδου, υπήρχε αλληλεπίδραση με 3.045 μοναδικές διευθύνσεις IP που συσχετίστηκαν με NETGEAR ProSAFE (2.158), Cisco RV320/325 (310), κάμερες Axis IP (29), DrayTek Vigor routers (17), και άλλες μη αναγνωρισμένες συσκευές (531).
Δείτε επίσης: Bigpanzi hackers: Το botnet τους στοχεύει Android TV boxes
Επίσης, στις αρχές Δεκεμβρίου του 2023 παρατηρήθηκε μια τεράστια αύξηση των προσπαθειών εκμετάλλευσης από τον payload server, υποδεικνύοντας τις πιθανές προσπάθειες των επιτιθέμενων να εκμεταλλευτούν εκ νέου τις συσκευές.
Οι χειριστές του KV-botnet πραγματοποιούν το δικό τους reconnaissance και targeting ενώ υποστηρίζουν πολλαπλές ομάδες όπως η Volt Typhoon. Είναι ενδιαφέρον ότι οι χρονικές σημάνσεις που σχετίζονται με την εκμετάλλευση των bots συσχετίζονται με τις ώρες εργασίας στην Κίνα.
“Η τηλεμετρία μας δείχνει ότι υπήρχαν administrative connections στους γνωστούς payload servers από διευθύνσεις IP που σχετίζονται με την China Telecom“, είπε ο Danny Adamitis, κύριος μηχανικός ασφάλειας πληροφοριών στη Black Lotus Labs.
Επιπλέον, και το Υπουργείο Δικαιοσύνης των ΗΠΑ περιέγραψε το botnet ως ελεγχόμενο από “hackers που χρηματοδοτούνται από τη Λαϊκή Δημοκρατία της Κίνας (ΛΔΚ)“.
Υπάρχουν επίσης ενδείξεις ότι οι επιτιθέμενοι δημιούργησαν ένα τρίτο σχετικό, αλλά ξεχωριστό botnet cluster με το όνομα x.sh, το οποίο αποτελείται από μολυσμένους Cisco routers.
Δείτε επίσης: Το AndroxGh0st malware botnet κλέβει AWS, Azure, Office 365 credentials
Προστασία από malware botnet
Για να προστατευτείτε από το KV-Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες που έχουν διορθωθεί σε πιο πρόσφατες εκδόσεις του λογισμικού (όπως συμβαίνει και σε αυτή την περίπτωση).
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το FritzFrog Botnet. Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: thehackernews.com
