SecBoard
Zurück zur Übersicht

China-Linked APT Expands Arsenal With New ‘Leash’ Backdoors

SecurityWeek·
Originalartikel lesen bei SecurityWeek

Eine chinesische APT-Gruppe, bekannt für die LapDogs-Kampagne, hat ihr Arsenal erweitert. Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen. Nutzer sollten ihre Router auf dem neuesten Stand halten und auf ungewöhnliche Aktivitäten achten.

Kurzfassung

Eine chinesische APT-Gruppe, bekannt für die LapDogs-Kampagne, hat ihr Arsenal erweitert. Sie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein. Diese Backdoors werden verwendet, um SOHO-Router anzugreifen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Nutzer von SOHO-Routern.

Warum relevant

Die Erweiterung des Malware-Toolkits durch eine staatlich unterstützte Gruppe erhöht das Risiko für SOHO-Router, die oft weniger gut geschützt sind. Kompromittierte Router können als Einfallstor für weitere Angriffe oder zur Überwachung dienen.

Realistisches Worst Case

Ein SOHO-Router wird kompromittiert und als Teil eines Botnetzes missbraucht oder als Brücke für den Zugriff auf das interne Netzwerk des Nutzers verwendet, was zu Datenexfiltration oder weiteren Systemkompromittierungen führen kann.

Handlungsempfehlung

Sicherstellen, dass die Firmware von SOHO-Routern auf dem neuesten Stand ist und auf ungewöhnliche Netzwerkaktivitäten achten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Firmware-Versionen aller SOHO-Router in Ihrer Umgebung und stellen Sie sicher, dass die neuesten Patches installiert sind.
  • Implementieren Sie Netzwerk-Monitoring-Lösungen, um ungewöhnliche ausgehende Verbindungen oder Datenverkehrsmuster von SOHO-Routern zu erkennen.
  • Überprüfen Sie die Konfigurationen Ihrer SOHO-Router auf unbekannte oder verdächtige Einstellungen, wie z.B. offene Ports oder Port-Weiterleitungen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationLowSie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen.
PersistenceT1547 Boot or Logon Autostart ExecutionLowSie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen.
Command and ControlT1071 Application Layer ProtocolLowSie setzt nun die neuen Backdoors LongLeash, DogLeash und JarLeash ein, um SOHO-Router anzugreifen.
Offene Punkte
  • Spezifische Schwachstellen oder Exploits, die von den Backdoors genutzt werden, sind nicht im Artikel genannt.
  • Die genauen Funktionen der Backdoors LongLeash, DogLeash und JarLeash sind nicht detailliert beschrieben.
  • Die betroffenen Hersteller oder Modelle von SOHO-Routern sind nicht spezifiziert.
  • Die geografische Reichweite oder die spezifischen Ziele der Kampagne sind nicht im Artikel genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Cisco extern erreichbar?
  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Themen
Network SecurityChinaFeatured