新的 KV-Botnet 针对 Cisco、DrayTek 和 Fortinet 设备进行隐形攻击

由 Cisco、DrayTek、Fortinet 和 NETGEAR 的防火墙和路由器组成的新僵尸网络正被用作高级持续性威胁（APT）攻击者的秘密数据传输网络，其中包括与某国有关的名为Volt Typhoon（伏特台风）的黑客组织。

KV-botnet僵尸网络逻辑网络图

该组织被 Lumen Technologies 的 Black Lotus Labs 团队称为 KV-botnet，该恶意网络是两个互补活动集群的合并，这些集群具有至少自 2022 年 2 月以来一直处于活跃状态。

Black Lotus Labs 团队的技术报告中（https://blog.lumen.com/routers-roasting-on-an-open-firewall-the-kv-botnet-investigation/）写道：“该活动感染网络边缘设备，该部分已成为许多企业防御阵列中的软肋，并且由于近年来向远程工作的转变而变得更加复杂。”

这两个集群（代号为 KV 和 JDY）据称各不相同，但同时协同工作，以方便接触知名受害者并建立秘密基础设施。遥测数据表明，该僵尸网络是从某国的 IP 地址中获取的。

虽然 JDY 的机器人部分使用不太复杂的技术进行更广泛的扫描，但 KY 组件主要以过时和报废产品为特色，据评估保留用于针对前者选择的引人注目的目标进行手动操作。

人们怀疑 Volt Typhoon 至少是 KV 僵尸网络的一个用户，并且它包含其运营基础设施的一个子集，2023 年 6 月和 7 月初的运营量明显下降就证明了这一点，这与公开披露的情况一致敌对集体针对美国关键基础设施的攻击。

恶意软件安装流程

揭露攻击者策略的微软公司表示：该组织通过受感染的小型办公室和家庭办公室 (SOHO) 网络设备（包括路由器、防火墙和 VPN 硬件）的流量隐蔽通信，“尝试通过路由融入正常网络活动”。

用于破坏设备的确切初始感染机制过程目前尚不清楚。接下来，第一阶段的恶意软件会采取措施删除安全程序和其他恶意软件，以确保它是“唯一存在”的恶意软件。

它还设计用于从远程服务器检索主要有效负载，该服务器除了向同一服务器发送信标之外，还能够上传和下载文件、运行命令以及执行其他模块。

在过去的一个月里，该僵尸网络的基础设施进行了改造，以安讯士 IP 摄像机为目标，这表明运营商可能正在为新一波的攻击做好准备。

“这次活动的一个相当有趣的方面是，所有工具似乎都完全驻留在内存中。”研究人员说。“这使得检测变得极其困难，代价是长期持续存在。”

由于恶意软件完全驻留在内存中，因此最终用户只需重新启动设备即可停止感染。虽然这消除了迫在眉睫的威胁，但再次感染仍然经常发生。”

调查结果发布之际，《华盛顿邮报》报道称，过去一年中，美国有数十个关键实体遭到Volt Typhoon黑客组织的渗透，其中包括电力和供水设施以及通信和运输系统。

研究人员称，黑客经常通过家庭或办公室路由器等无害设备进行攻击，然后再到达受害者，从而掩盖他们的踪迹。

参考链接：https://thehackernews.com/2023/12/new-kv-botnet-targeting-cisco-draytek.html