Анализ сети «Комнатные собачки»: продвинутая APT-операция LapDogs

Новая киберугроза: сеть «Комнатные собачки» атакует устройства SOHO на базе Linux

Исследовательская группа STRIKE из компании SecurityScorecard обнаружила новую подозрительную операцию, связанную с сетью операционных ретрансляционных блоков (ORB), получившую название LapDogs или «Комнатные собачки». Эта вредоносная инфраструктура ориентирована преимущественно на устройства малого и домашнего офиса (SOHO) под управлением Linux, активно распространяясь с сентября 2023 года.

География и масштаб атаки

Локализация жертв показывает высокую концентрацию в Соединённых Штатах и регионах Юго-Восточной Азии. Эксперты отмечают постепенное расширение сети LapDogs, что свидетельствует о системном и целенаправленном характере операций.

• Более 1000 активно скомпрометированных устройств по всему миру
• Целевые платформы – преимущественно встроенные устройства SOHO
• Основное внимание – уязвимости старых веб-серверов и устаревших конфигураций

Ключевой элемент: бэкдор ShortLeash

Центральным компонентом инфраструктуры LapDogs является специализированный бэкдор ShortLeash, обеспечивающий устойчивое присутствие в заражённых системах. Для управления устройствами и взаимодействия узлов используется уникальная система самоподписанных TLS-сертификатов с фальсифицированными метаданными.

Одна из важных особенностей ShortLeash – продвинутая тактика маскировки: вредоносный сервис имитирует веб-сервер Nginx, что затрудняет обнаружение.

Для установки бэкдора требуется право root, что дает злоумышленникам привилегии высокого уровня и возможность длительного контроля над устройствами.

Происхождение и методика атаки

Анализ судебных доказательств, включая заметки разработчиков на китайском языке в скриптах запуска ShortLeash, связывает операцию с китайской группой APT. Отличительной чертой LapDogs является структурированный и методичный подход, резко отличающийся от оппортунистических ботнетов.

• Структурированные кампании с чётко определёнными географическими целями
• Проверка и адаптация наборов вторжений в зависимости от характеристик заражённых устройств
• Использование многоуровневой архитектуры узлов для управления и поддержки заражённых систем
• Особый фокус на оборудование производителей Ruckus Wireless и Buffalo Technology

Отличия от других ORB и рекомендации по мониторингу

Хотя поведение LapDogs напоминает другие сетевые структуры ORB, такие как PolarEdge, уникальные тактики, методы и процедуры (TTP) делают эту операцию особенно опасной.

Эксперты подчёркивают, что эффективное обнаружение и мониторинг должны базироваться на:

• Отслеживании специфических отпечатков TLS, связанных с вредоносными сервисами LapDogs
• Фокусе на устройствах с устаревшими или уязвимыми конфигурациями веб-серверов
• Географически адаптированных методах реагирования в зависимости от распределения атак

LapDogs демонстрирует, что современные киберугрозы выходят за рамки обычных ботнетов, сочетая в себе продвинутые технологии уклонения и сложные операционные стратегии. Это требует от специалистов по кибербезопасности повышенного внимания и постоянного мониторинга, особенно в сегменте устройств SOHO на базе Linux.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.