ViciousTrap: Ein globales Netzwerk aus Honeypots zur Überwachung von Cyberbedrohungen

LONDON (IT BOLTWISE) – In einer beispiellosen Kampagne hat der Bedrohungsakteur ViciousTrap über 5.500 Edge-Geräte von mehr als 50 Marken kompromittiert und sie in ein riesiges verteiltes Honeypot-Netzwerk verwandelt. Diese Geräte, die ursprünglich für den normalen Betrieb gedacht waren, dienen nun als stille Beobachter im globalen Cyber-Bedrohungsökosystem.

Die jüngste Kampagne von ViciousTrap stellt eine bedeutende Weiterentwicklung in der Taktik von Cyberbedrohungen dar. Anstatt die kompromittierte Infrastruktur für herkömmliche bösartige Zwecke zu nutzen, schaffen die Angreifer ein Überwachungssystem, das in der Lage ist, Zero-Day-Exploits zu erfassen und die Aktivitäten anderer Bedrohungsakteure zu überwachen. Diese Strategie zeigt eine Verschiebung von traditionellen kriminellen Motiven hin zu Zielen der Informationsbeschaffung.

Die Kampagne zielt hauptsächlich auf End-of-Life-Geräte ab, darunter SOHO-Router, SSL-VPNs, DVRs und BMC-Controller von großen Herstellern wie Cisco, D-Link, Linksys, ASUS, QNAP und Araknis Networks. Der Bedrohungsakteur nutzt bekannte Schwachstellen, insbesondere CVE-2023-20118, um sich Zugang zu verschaffen und seine bösartige Infrastruktur zu installieren.

Forscher von Sekoia entdeckten diese Kampagne durch ihre Honeypot-Beobachtungen und stellten fest, dass seit März 2025 täglich Angriffsversuche von einer einzigen IP-Adresse ausgehen. Die geografische Verteilung der kompromittierten Geräte erstreckt sich über 84 Länder, wobei Macao die höchste Konzentration infizierter Systeme aufweist, was wahrscheinlich auf die weit verbreitete Nutzung anfälliger D-Link DIR-850L-Router in dieser Region zurückzuführen ist.

Die Angreifer operieren von einer malaysischen Infrastruktur aus, die unter dem autonomen System AS45839 läuft, und nutzen Server des Hosting-Unternehmens Shinjiru. Die Analyse deutet darauf hin, dass der Bedrohungsakteur wahrscheinlich chinesischsprachigen Ursprungs ist, was durch schwache Überschneidungen mit der GobRAT-Infrastruktur und strategische Zielmuster belegt wird, die es vermeiden, Geräte innerhalb Chinas zu kompromittieren, während sie sich auf Vermögenswerte in Taiwan und den Vereinigten Staaten konzentrieren.

Das Honeypot-Netzwerk ermöglicht es ViciousTrap, sich als stille Beobachter im Cyber-Bedrohungsökosystem zu positionieren und potenziell nicht-öffentliche oder Zero-Day-Exploits zu sammeln, die von anderen Bedrohungsakteuren eingesetzt werden. Die ausgeklügelte Natur dieser Operation deutet auf Ziele der Informationsbeschaffung hin, die über traditionelle kriminelle Motivationen hinausgehen und einen besorgniserregenden Trend darstellen, bei dem kompromittierte Geräte sowohl als Angriffsinfrastruktur als auch als Überwachungsplattformen dienen.

Der Infektionsmechanismus und die NetGhost-Implementierung von ViciousTrap zeigen bemerkenswerte technische Raffinesse durch einen mehrstufigen Prozess, der darauf ausgelegt ist, die Erkennung zu minimieren und die Persistenz zu maximieren. Der anfängliche Zugang beginnt mit der Ausnutzung der CVE-2023-20118-Schwachstelle, bei der Angreifer Befehle über den anfälligen config.exp-Endpunkt ausführen, um ein Bash-Skript herunterzuladen und auszuführen.

Der Angriff entfaltet sich durch eine sorgfältig orchestrierte Abfolge: Zuerst verwendet der Angreifer ftpget, um ein Skript namens ‘a’ von seinem Staging-Server unter 101.99.90.20 abzurufen, das anschließend eine angepasste Busybox wget-Binärdatei herunterlädt, die für die MIPS-Architektur kompiliert wurde, und sie im /tmp-Verzeichnis des kompromittierten Geräts speichert. Diese Binärdatei dient als kritische Komponente für die anschließende Kommunikation mit der Command-and-Control-Infrastruktur.

Nach der Bereitstellung der anfänglichen Nutzlast wird die Schwachstelle ein zweites Mal ausgenutzt, um die Hauptnutzlast mit einem eindeutigen UUID-Identifikator für jeden Infektionsversuch abzurufen und auszuführen. Dieses UUID-basierte System ermöglicht es den Angreifern, einen Allow-List-Mechanismus zu implementieren, der sicherstellt, dass Nutzlasten nur an bestätigte kompromittierte Systeme geliefert werden.

Das sekundäre Skript, intern als NetGhost bezeichnet, implementiert die Kernfunktionalität der Operation. NetGhost führt bei der Ausführung mehrere kritische Funktionen aus. Das Skript entfernt sich sofort selbst mit einem rm-Befehl, um forensische Artefakte zu minimieren, und führt dann Verfügbarkeitsprüfungen für die Ports 80, 8000 und 8080 durch, um geeignete Umleitungsziele zu identifizieren.

Sobald ein verfügbarer Port identifiziert wurde, konfiguriert das Skript iptables NAT-Regeln, um den gesamten eingehenden Datenverkehr zu Angreifer-kontrollierten Abfangservern umzuleiten, insbesondere 111.90.148.151 und 111.90.148.112. Der letzte Schritt umfasst die Registrierung bei der Command-and-Control-Infrastruktur durch fünf HTTP-Anfragen, die die umgeleitete Portnummer und die Opferkennung enthalten, wodurch die Angreifer über den erfolgreichen Kompromiss informiert werden und die Überwachung des abgefangenen Datenverkehrs beginnen können.

Dieser Mechanismus verwandelt jedes kompromittierte Gerät in einen transparenten Proxy, der es ViciousTrap ermöglicht, die durch diese Systeme fließenden Kommunikationen zu beobachten und potenziell zu manipulieren, während der Anschein eines normalen Gerätebetriebs gewahrt bleibt.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!