Descomptes multi-llicència
Threat Database Malware Programari maliciós Horse Shell

Programari maliciós Horse Shell

El Mezo el Malware, Backdoors
Traduir a:
Català

S'ha trobat un grup de pirateria informàtica conegut com "Camaro Dragon", que es creu que està patrocinat per l'estat per la Xina, infectant encaminadors TP-Link residencials amb un programari maliciós personalitzat anomenat Horse Shell. Aquesta campanya d'atac està dirigida específicament a les organitzacions europees d'afers exteriors.

Els pirates informàtics despleguen aquest programari maliciós de porta posterior mitjançant un microprogramari personalitzat i amenaçador adaptat als encaminadors TP-Link. En fer-ho, poden dur a terme atacs que semblen originar-se de xarxes residencials.

Aquest tipus d'atac s'adreça a xarxes domèstiques i residencials habituals. Per tant, la infecció d'un encaminador domèstic no indica necessàriament que els propis propietaris fossin un objectiu específic; més aviat, els seus dispositius serveixen per facilitar el camí als atacants per assolir els seus objectius.

Un cop desplegat el programari maliciós, els actors de l'amenaça tenen accés complet al dispositiu infectat. Això inclou la possibilitat d'executar ordres d'intèrpret d'ordres, carregar i descarregar fitxers i utilitzar l'encaminador com a servidor intermediari SOCKS per facilitar la comunicació entre dispositius.

La investigació va descobrir l'implant de microprogramari Horse Shell TP-Link el gener de 2023. Han observat que les activitats dels pirates informàtics es superposen amb un altre grup de pirateria xinès conegut com Mustang Panda, però estan fent un seguiment dels actors de l'amenaça amb el nom separat de Camaro Dragon.

Horse Shell es desplega mitjançant un firmware TP-Link no segur

Segons les conclusions dels investigadors de ciberseguretat, els atacants infecten els encaminadors TP-Link introduint una imatge de microprogramari amenaçadora. Això es pot haver aconseguit aprofitant les vulnerabilitats del programari de l'encaminador o intentant endevinar les credencials de l'administrador mitjançant mètodes de força bruta.

Una vegada que l'actor de l'amenaça aconsegueix accés administratiu a la interfície de gestió de l'encaminador, té la capacitat d'actualitzar de manera remota el dispositiu amb la imatge de microprogramari personalitzada que conté el programari maliciós Horse Shell.

Fins ara s'han descobert dues mostres d'imatges de microprogramari troianitzades dissenyades específicament per a encaminadors TP-Link. Aquestes versions de microprogramari perjudicials contenen modificacions i addicions extensives als fitxers originals.

En comparar el firmware TP-Link manipulat amb una versió legítima, els experts van trobar que les seccions del nucli i de l'uBoot eren idèntiques. No obstant això, el microprogramari insegur incorporava un sistema de fitxers SquashFS personalitzat que contenia components de fitxers danyats addicionals associats amb l'implant de la porta posterior de Horse Shell. A més, el microprogramari no segur també altera el tauler web de gestió, evitant eficaçment que el propietari del dispositiu mostri una imatge de microprogramari nova a l'encaminador i assegura la persistència de la infecció.

Les capacitats nocives de l'implant de closca de cavall

Un cop activat l'implant de la porta posterior de la closca de cavall, empra diverses tècniques per garantir la seva persistència i el seu funcionament encobert. En primer lloc, indica al sistema operatiu que no finalitzi el seu procés quan s'emeten determinades ordres, com ara SIGPIPE, SIGIN o SIGABRT. A més, es converteix en un dimoni, cosa que li permet córrer en silenci en segon pla.

A continuació, la porta posterior estableix una connexió amb el servidor d'ordres i control (C2) de l'operació. Envia el perfil de la màquina de la víctima, que inclou informació com ara el nom d'usuari, la versió del sistema operatiu, els detalls del dispositiu, l'adreça IP, l'adreça MAC i les funcions compatibles de l'implant.

Un cop completada la fase de configuració, Horse Shell espera pacientment instruccions del servidor C2. Escolta tres ordres específiques:

  • Inicieu un intèrpret d'ordres remot: aquesta ordre concedeix als actors de l'amenaça accés complet al dispositiu compromès, cosa que els permet executar ordres i dur a terme activitats no segures.
  • Realitzar activitats de transferència de fitxers: la porta posterior facilita la càrrega i descàrrega de fitxers, la manipulació bàsica de fitxers i l'enumeració de directoris, permetent als actors de l'amenaça manipular les dades del dispositiu compromès.
  • Inicieu el túnel: Horse Shell pot iniciar el túnel per ofuscar la destinació i l'origen del trànsit de xarxa. En amagar l'adreça del servidor C2, aquesta tècnica ajuda a mantenir la sigil·litat de les operacions dels atacants.

Els investigadors assenyalen que l'implant de microprogramari Horse Shell no es limita a un tipus diferent de microprogramari, sinó que és independent del microprogramari. Per tant, en teoria, es podria utilitzar potencialment en imatges de microprogramari per a encaminadors de diversos proveïdors.

L'orientació d'encaminadors poc assegurats per part de pirates informàtics patrocinats per l'estat no és sorprenent. Els encaminadors sovint són objectiu de les botnets per a activitats com ara atacs de denegació de servei (DDoS) distribuïts o operacions de criptomineria. Aquests atacs s'aprofiten de les mesures de seguretat sovint ignorades dels encaminadors, cosa que permet que els dispositius compromesos serveixin com a punts de llançament discrets per a activitats nocives alhora que enfosquin l'origen de l'atacant.

Tendència

Més vist

Carregant...