Sicherheitsforscher von Forescout haben eine großangelegte Cyber-Attacke aufgedeckt, bei der Angreifer bisher unbekannte Zero-Day Schwachstellen in DrayTek Routern ausnutzten. Die Kampagne führte zur Kompromittierung von mindestens 300 Organisationen und demonstriert eindrücklich die wachsende Bedrohung durch sophisticated Supply-Chain-Angriffe.
Anatomie einer koordinierten Angriffskampagne
Im Zeitraum von August bis September 2023 orchestrierte die Hackergruppe Monstrous Mantis eine Serie von Angriffen auf über 20.000 DrayTek-Geräte. Die Gruppe agierte dabei als Initial Access Broker und verkaufte die kompromittierten Zugänge an andere cyberkriminelle Akteure weiter, was die Komplexität moderner Cyber-Bedrohungen unterstreicht.
Zusammenspiel krimineller Akteure
Die technische Analyse offenbart ein ausgeklügeltes Netzwerk von Cyberkriminellen. Die gestohlenen Zugangsdaten wurden an die Gruppen Ruthless Mantis (PTI-288) und LARVA-15 (Wazawaka) weitergegeben, die diese für gezielte Ransomware-Attacken in verschiedenen europäischen Ländern nutzten.
Geografische Verteilung der Angriffe
Ruthless Mantis, die Verbindungen zur berüchtigten REvil-Gruppe aufweist, kompromittierte erfolgreich 337 Organisationen, vorwiegend in Großbritannien und den Niederlanden. Dabei kamen die Ransomware-Varianten Nokoyawa und Qilin zum Einsatz. LARVA-15 konzentrierte ihre Aktivitäten auf Ziele in neun Ländern, darunter Deutschland, Frankreich und Italien.
Technische Details der Schwachstelle
Die Zero-Day Vulnerability wurde im mainfunction.cgi-Komponenten der DrayTek-Router identifiziert. Im November 2024 wurden 22 neue CVE-Einträge zur National Vulnerability Database hinzugefügt. Betroffen sind hauptsächlich ältere Modelle wie Vigor300B, Vigor2960 und Vigor3900. Die Auswirkungen auf die aktuelle Firmware-Version 1.5.6 sind noch nicht abschließend geklärt.
Angesichts der anhaltenden Bedrohungslage empfehlen Sicherheitsexperten dringend die Implementierung mehrschichtiger Schutzmaßnahmen. Dazu gehören regelmäßige Firmware-Updates, die Aktivierung der Multi-Faktor-Authentifizierung sowie ein kontinuierliches Monitoring der Netzwerkaktivitäten. Besonders kritisch ist die zeitnahe Installation verfügbarer Sicherheitspatches, um potenzielle Angriffsvektoren zu minimieren.
