Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό Horse Shell

Κακόβουλο λογισμικό Horse Shell

Μέχρι το Mezo το Malware, Backdoors
Μετάφραση σε:
Ελληνικά

Μια ομάδα hacking γνωστή ως «Camaro Dragon», που πιστεύεται ότι χρηματοδοτείται από το κράτος από την Κίνα, βρέθηκε να μολύνει οικιακούς δρομολογητές TP-Link με ένα προσαρμοσμένο κακόβουλο λογισμικό που ονομάζεται Horse Shell. Αυτή η εκστρατεία επίθεσης στοχεύει ειδικά σε ευρωπαϊκούς οργανισμούς εξωτερικών υποθέσεων.

Οι χάκερ αναπτύσσουν αυτό το κακόβουλο λογισμικό backdoor μέσω προσαρμοσμένου και απειλητικού υλικολογισμικού που είναι προσαρμοσμένο για δρομολογητές TP-Link. Με αυτόν τον τρόπο, μπορούν να πραγματοποιήσουν επιθέσεις που φαίνεται να προέρχονται από οικιακά δίκτυα.

Αυτός ο τύπος επίθεσης στοχεύει τακτικά οικιακά και οικιακά δίκτυα. Επομένως, η μόλυνση ενός οικιακού δρομολογητή δεν σημαίνει απαραίτητα ότι οι ίδιοι οι ιδιοκτήτες σπιτιού ήταν ένας συγκεκριμένος στόχος. Αντίθετα, οι συσκευές τους χρησιμεύουν για να διευκολύνουν τον τρόπο για τους επιτιθέμενους να επιτύχουν τους στόχους τους.

Μόλις αναπτυχθεί το κακόβουλο λογισμικό, οι φορείς απειλής αποκτούν πλήρη πρόσβαση στη μολυσμένη συσκευή. Αυτό περιλαμβάνει τη δυνατότητα εκτέλεσης εντολών φλοιού, αποστολής και λήψης αρχείων και χρήσης του δρομολογητή ως διακομιστή μεσολάβησης SOCKS για τη διευκόλυνση της επικοινωνίας μεταξύ συσκευών.

Η έρευνα ανακάλυψε το εμφύτευμα υλικολογισμικού Horse Shell TP-Link τον Ιανουάριο του 2023. Παρατήρησαν ότι οι δραστηριότητες των χάκερ αλληλεπικαλύπτονται με μια άλλη κινεζική ομάδα hacking γνωστή ως Mustang Panda, αλλά παρακολουθούν τους παράγοντες απειλής με το ξεχωριστό όνομα Camaro Dragon.

Το Horse Shell αναπτύσσεται μέσω Unsafe Firmware TP-Link

Σύμφωνα με τα ευρήματα των ερευνητών κυβερνοασφάλειας, οι εισβολείς μολύνουν τους δρομολογητές TP-Link εισάγοντας μια απειλητική εικόνα υλικολογισμικού. Αυτό μπορεί να έχει επιτευχθεί με την εκμετάλλευση ευπαθειών στο λογισμικό του δρομολογητή ή με την προσπάθεια να μαντέψει τα διαπιστευτήρια του διαχειριστή μέσω μεθόδων brute-force.

Μόλις ο παράγοντας απειλής αποκτήσει διαχειριστική πρόσβαση στη διεπαφή διαχείρισης του δρομολογητή, έχει τη δυνατότητα να ενημερώσει εξ αποστάσεως τη συσκευή με την προσαρμοσμένη εικόνα υλικολογισμικού που περιέχει το κακόβουλο λογισμικό Horse Shell.

Μέχρι στιγμής έχουν ανακαλυφθεί δύο δείγματα trojanized εικόνων υλικολογισμικού που έχουν σχεδιαστεί ειδικά για δρομολογητές TP-Link. Αυτές οι επιβλαβείς εκδόσεις υλικολογισμικού περιέχουν εκτενείς τροποποιήσεις και προσθήκες στα αρχικά αρχεία.

Συγκρίνοντας το παραποιημένο υλικολογισμικό TP-Link με μια νόμιμη έκδοση, οι ειδικοί διαπίστωσαν ότι τα τμήματα πυρήνα και uBoot ήταν πανομοιότυπα. Ωστόσο, το μη ασφαλές υλικολογισμικό ενσωμάτωσε ένα προσαρμοσμένο σύστημα αρχείων SquashFS που περιείχε πρόσθετα κατεστραμμένα στοιχεία αρχείων που σχετίζονται με το εμφύτευμα κερκόπορτας Horse Shell. Επιπλέον, το μη ασφαλές υλικολογισμικό αλλάζει επίσης τον πίνακα διαχείρισης Web, εμποδίζοντας ουσιαστικά τον κάτοχο της συσκευής να αναβοσβήνει μια νέα εικόνα υλικολογισμικού στο δρομολογητή καθώς και διασφαλίζοντας τη διατήρηση της μόλυνσης.

Οι επιβλαβείς δυνατότητες του εμφυτεύματος κελύφους αλόγου

Μόλις ενεργοποιηθεί το εμφύτευμα οπίσθιας πόρτας Horse Shell, χρησιμοποιεί διάφορες τεχνικές για να διασφαλίσει την εμμονή και τη μυστική λειτουργία του. Πρώτον, δίνει οδηγίες στο λειτουργικό σύστημα να μην τερματίζει τη διαδικασία του όταν εκδίδονται ορισμένες εντολές, όπως SIGPIPE, SIGIN ή SIGABRT. Επιπλέον, μετατρέπεται σε δαίμονα, επιτρέποντάς του να τρέχει αθόρυβα στο παρασκήνιο.

Στη συνέχεια, η κερκόπορτα δημιουργεί μια σύνδεση με τον διακομιστή Command-and-Control (C2) της λειτουργίας. Στέλνει το προφίλ του μηχανήματος του θύματος, το οποίο περιλαμβάνει πληροφορίες όπως το όνομα χρήστη, την έκδοση του λειτουργικού συστήματος, τα στοιχεία της συσκευής, τη διεύθυνση IP, τη διεύθυνση MAC και τις υποστηριζόμενες λειτουργίες του εμφυτεύματος.

Έχοντας ολοκληρώσει τη φάση εγκατάστασης, η Horse Shell περιμένει υπομονετικά οδηγίες από τον διακομιστή C2. Ακούει τρεις συγκεκριμένες εντολές:

  • Εκκίνηση απομακρυσμένου κελύφους: Αυτή η εντολή παρέχει στους παράγοντες απειλής πλήρη πρόσβαση στη συσκευή που έχει παραβιαστεί, επιτρέποντάς τους να εκτελούν εντολές και να εκτελούν μη ασφαλείς δραστηριότητες.
  • Εκτελέστε δραστηριότητες μεταφοράς αρχείων: Η κερκόπορτα διευκολύνει τη μεταφόρτωση και τη λήψη αρχείων, τη βασική επεξεργασία αρχείων και την απαρίθμηση καταλόγων, επιτρέποντας στους παράγοντες απειλής να χειρίζονται δεδομένα στη συσκευή που έχει παραβιαστεί.
  • Έναρξη σήραγγας: Η Horse Shell μπορεί να ξεκινήσει τη δημιουργία σήραγγας για να αποκρύψει τον προορισμό και την προέλευση της κυκλοφορίας του δικτύου. Με την απόκρυψη της διεύθυνσης διακομιστή C2, αυτή η τεχνική βοηθά στη διατήρηση της μυστικότητας των λειτουργιών των εισβολέων.

Οι ερευνητές σημειώνουν ότι το εμφύτευμα υλικολογισμικού Horse Shell δεν περιορίζεται σε έναν ξεχωριστό τύπο υλικολογισμικού, αλλά είναι αγνωστικό ως προς το υλικολογισμικό. Επομένως, θεωρητικά, θα μπορούσε ενδεχομένως να χρησιμοποιηθεί σε εικόνες υλικολογισμικού για δρομολογητές από διάφορους προμηθευτές.

Η στόχευση κακώς ασφαλισμένων δρομολογητών από χάκερ που χρηματοδοτούνται από το κράτος δεν προκαλεί έκπληξη. Οι δρομολογητές συχνά στοχεύονται από botnet για δραστηριότητες όπως κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS) ή λειτουργίες εξόρυξης κρυπτονομισμάτων. Αυτές οι επιθέσεις εκμεταλλεύονται τα μέτρα ασφαλείας των δρομολογητών που συχνά παραβλέπονται, επιτρέποντας στις παραβιασμένες συσκευές να λειτουργούν ως δυσδιάκριτα σημεία εκκίνησης για επιβλαβείς δραστηριότητες, ενώ συγκαλύπτουν την προέλευση του εισβολέα.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...