China-Linked APT Expands Arsenal With New ‘Leash’ Backdoors
Eine chinesische APT-Gruppe, bekannt für die LapDogs-Kampagne, hat ihr Arsenal erweitert. Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen. Nutzer sollten ihre Router auf dem neuesten Stand halten und auf ungewöhnliche Aktivitäten achten.
Eine chinesische APT-Gruppe, bekannt für die LapDogs-Kampagne, hat ihr Arsenal erweitert. Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein. Diese Backdoors werden verwendet, um SOHO-Router anzugreifen.
Nutzer von SOHO-Routern.
Die Erweiterung des Malware-Toolkits durch eine staatlich unterstützte Gruppe erhöht das Risiko für SOHO-Router, die oft weniger gut geschützt sind. Kompromittierte Router können als Einfallstor für weitere Angriffe oder zur Überwachung dienen.
Ein SOHO-Router wird kompromittiert und als Teil eines Botnetzes missbraucht oder als Brücke für den Zugriff auf das interne Netzwerk des Nutzers verwendet, was zu Datenexfiltration oder weiteren Systemkompromittierungen führen kann.
Sicherstellen, dass die Firmware von SOHO-Routern auf dem neuesten Stand ist und auf ungewöhnliche Netzwerkaktivitäten achten.
- ▸Überprüfen Sie die Firmware-Versionen aller SOHO-Router in Ihrer Umgebung und stellen Sie sicher, dass die neuesten Patches installiert sind.
- ▸Implementieren Sie Netzwerk-Monitoring-Lösungen, um ungewöhnliche ausgehende Verbindungen oder Datenverkehrsmuster von SOHO-Routern zu erkennen.
- ▸Überprüfen Sie die Konfigurationen Ihrer SOHO-Router auf unbekannte oder verdächtige Einstellungen, wie z.B. offene Ports oder Port-Weiterleitungen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1190 Exploit Public-Facing Application | Low | Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen. |
| Persistence | T1547 Boot or Logon Autostart Execution | Low | Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen. |
| Command and Control | T1071 Application Layer Protocol | Low | Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen. |
- Spezifische Schwachstellen oder Exploits, die von den Backdoors genutzt werden, sind nicht im Artikel genannt.
- Die genauen Funktionen der Backdoors LongLeash, DogLeash und JarLeash sind nicht detailliert beschrieben.
- Die betroffenen Hersteller oder Modelle von SOHO-Routern sind nicht spezifiziert.
- Die geografische Reichweite oder die spezifischen Ziele der Kampagne sind nicht im Artikel genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Cisco extern erreichbar?
- Können wir Resource Development detektieren?