Sicherheitsforscher von Forescout haben eine koordinierte Angriffskampagne aufgedeckt, bei der die Gruppe Monstrous Mantis bisher unbekannte Zero-Day-Schwachstellen in DrayTek-Routern ausnutzte, um als Initial Access Broker zu agieren — über 20.000 Geräte wurden kompromittiert, die gestohlenen Zugänge an Ransomware-Gruppen weiterverkauft und mindestens 300 Organisationen betroffen.
Anatomie einer koordinierten Angriffskampagne
Im Zeitraum von August bis September 2023 orchestrierte die Hackergruppe Monstrous Mantis eine Serie von Angriffen auf über 20.000 DrayTek-Geräte. Die Gruppe agierte als Initial Access Broker und verkaufte die kompromittierten Zugänge weiter an spezialisierte Ransomware-Gruppen.
Zusammenspiel krimineller Akteure
Die technische Analyse offenbart ein ausgeklügeltes Netzwerk von Cyberkriminellen. Die gestohlenen Zugangsdaten wurden an die Gruppen Ruthless Mantis (PTI-288) und LARVA-15 (Wazawaka) weitergegeben, die diese für gezielte Ransomware-Attacken in verschiedenen europäischen Ländern nutzten.
Geografische Verteilung der Angriffe
Ruthless Mantis, die Verbindungen zur berüchtigten REvil-Gruppe aufweist, kompromittierte erfolgreich 337 Organisationen, vorwiegend in Großbritannien und den Niederlanden. Dabei kamen die Ransomware-Varianten Nokoyawa und Qilin zum Einsatz. LARVA-15 konzentrierte ihre Aktivitäten auf Ziele in neun Ländern, darunter Deutschland, Frankreich und Italien.
Technische Details der Schwachstelle
Die Zero-Day Vulnerability wurde im mainfunction.cgi-Komponenten der DrayTek-Router identifiziert. Im November 2024 wurden 22 neue CVE-Einträge zur National Vulnerability Database hinzugefügt. Betroffen sind hauptsächlich ältere Modelle wie Vigor300B, Vigor2960 und Vigor3900. Die Auswirkungen auf die aktuelle Firmware-Version 1.5.6 sind noch nicht abschließend geklärt.
Da mehrere frühere DrayTek-Schwachstellen in derselben Komponente mainfunction.cgi dokumentiert wurden, sollten Betreiber die relevanten NVD-Einträge für betroffene Vigor-Modelle prüfen, nicht benötigten Fernzugriff deaktivieren und Management-Zugriffe auf ungewöhnliche Verbindungen über Port 443/8443 kontrollieren. Eine ergänzende Zusammenfassung der Kampagne veröffentlichte Risky Business.
