与中国相关的隐形 ORB 网络在美国和东亚站稳脚跟

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，一个由中国关联组织控制的ORB网络“LapDogs”已超1000台设备，主要分布在美国和东亚。该网络由路由器、物联网设备等组成，具有隐蔽性强、持续扩展的特点，可能用于间谍活动。

一个由与中国相关的威胁组织控制的近期发现的操作中继箱（ORB）网络，已经超过了1000个设备，并且正在美国和东亚地区持续扩展。SecurityScorecard在周一发布的一份威胁报告中指出。SecurityScorecard将该ORB网络命名为“LapDogs”，主要由专为小型办公室或家庭办公环境设计的路由器组成，但也包括被感染的物联网设备、虚拟服务器和IP摄像头。研究人员检测到的最早节点可追溯至2023年9月，自那时起该网络逐渐扩大，每次感染不超过60个设备，表明这是一个高度针对性的操作，针对特定地点。研究人员已识别出162种不同的入侵组，每次入侵活动都会向ORB网络添加更多设备。SecurityScorecard的安全研究员吉拉德·迈兹莱斯（Gilad Maizles）在一封电子邮件中表示：“LapDogs的扩展速度正在加快。活动变得更加频繁，数量也有所增加，这最终导致网络中新增的设备多于移除的设备。”

超过三分之一的感染分布在美国，其次是日本、韩国、台湾和香港。活跃的感染涵盖来自Ruckus Wireless、Asus、Buffalo Technology、Cisco-Linksys、D-Link、Microsoft、Panasonic和Synology的设备和服务。据SecurityScorecard称，超过一半的被入侵设备是Ruckus Wireless接入点。

迈兹莱斯表示：“这个网络在感染后的活动尚不明确。一些由中国关联行为者使用的ORB是共享基础设施，可以同时托管和促进多个入侵组。这使得关于APT动机、TTPs以及感染后活动的问题更难以回答。这也最终展示了ORB作为中国关联APT景观中的新兴威胁有多有害和危险。”

ORB网络比僵尸网络更加复杂，使控制它们的威胁组织能够拥有更多的隐蔽能力，通常用于间谍活动。SecurityScorecard的研究人员在报告中表示，僵尸网络类似之处在于它们也依赖大量面向互联网的设备或虚拟服务，但“ORB网络更像是瑞士军刀，可以参与入侵生命周期的任何阶段。”这包括侦察、匿名浏览、网络流量数据收集以进行端口和漏洞扫描、节点重新配置以及上传被盗数据。

Mandiant Intelligence之前曾记录了中国国家支持的威胁组织日益增多地使用ORB网络，这是一种低投入的练习，旨在“创建一个不断演化的网状网络，可用于隐藏间谍活动”。

ORB网络逐渐削弱了攻击者控制架构的概念，因为它们每月循环使用网络基础设施。Mandiant研究人员警告说，清除恶意指标的速度正在加快，因为这些ORB网络的操作特性使得威胁研究人员更难识别和归因于受感染节点上的异常活动。

LapDogs感染的设备数量比其他ORB少，但迈兹莱斯表示，这可能是由于运营ORB的威胁组织有意做出的决定。他表示：“我们推测这是为了保持ORB不被发现，并且在过去两年里成功做到了这一点。LapDogs可能被用于长期、隐蔽和本地化的操作，这可能会对任何给定组织产生更大的影响，而不是广泛传播的感染。”

(以上内容均由Ai生成)