تخفیف چند مجوز
Threat Database Malware بدافزار Horse Shell

بدافزار Horse Shell

تا Mezo در Malware, Backdoors
ترجمه به:
فارسی

یک گروه هکری معروف به "Camaro Dragon" که گمان می رود توسط دولت چین حمایت می شود، پیدا شده است که روترهای TP-Link مسکونی را با یک بدافزار سفارشی به نام Horse Shell آلوده کرده است. این کمپین حمله به طور خاص سازمان های روابط خارجی اروپا را هدف قرار داده است.

هکرها این بدافزار backdoor را از طریق سفت‌افزار سفارشی‌سازی‌شده و تهدیدکننده که برای روترهای TP-Link طراحی شده است، مستقر می‌کنند. با انجام این کار، آنها می توانند حملاتی را انجام دهند که به نظر می رسد از شبکه های مسکونی سرچشمه می گیرند.

این نوع حمله شبکه های معمولی مسکونی و خانگی را هدف قرار می دهد. بنابراین، آلوده شدن روتر خانگی لزوماً نشان دهنده این نیست که صاحبان خانه خود یک هدف خاص بوده اند. در عوض، دستگاه های آنها برای تسهیل راه برای دستیابی مهاجمان به اهدافشان خدمت می کنند.

پس از استقرار بدافزار، عوامل تهدید به دستگاه آلوده دسترسی کامل پیدا می کنند. این شامل توانایی اجرای دستورات پوسته، آپلود و دانلود فایل ها، و استفاده از روتر به عنوان یک پروکسی SOCKS برای تسهیل ارتباط بین دستگاه ها است.

این تحقیق، کاشت سفت‌افزار Horse Shell TP-Link را در ژانویه 2023 کشف کرد. آنها مشاهده کردند که فعالیت‌های هکرها با یک گروه هکر چینی دیگر به نام Mustang Panda همپوشانی دارد، اما آنها عوامل تهدید را تحت نام جداگانه Camaro Dragon دنبال می‌کنند.

Horse Shell از طریق سیستم عامل ناامن TP-Link مستقر می شود

بر اساس یافته‌های محققان امنیت سایبری، مهاجمان با معرفی یک تصویر فریم‌افزار تهدیدکننده، روترهای TP-Link را آلوده می‌کنند. این ممکن است با سوء استفاده از آسیب پذیری ها در نرم افزار روتر یا با تلاش برای حدس زدن اعتبار مدیر از طریق روش های brute-force به دست آمده باشد.

هنگامی که عامل تهدید به رابط مدیریت روتر دسترسی مدیریتی پیدا می کند، می تواند از راه دور دستگاه را با تصویر سفت افزار سفارشی حاوی بدافزار Horse Shell به روز کند.

دو نمونه از تصاویر سیستم عامل تروجانیزه شده که به طور خاص برای روترهای TP-Link طراحی شده اند تاکنون کشف شده است. این نسخه‌های سفت‌افزار مضر حاوی تغییرات و اضافات گسترده‌ای به فایل‌های اصلی هستند.

در مقایسه سیستم عامل TP-Link دستکاری شده با یک نسخه قانونی، کارشناسان دریافتند که بخش کرنل و uBoot یکسان هستند. با این حال، سیستم عامل ناامن یک فایل سیستم سفارشی SquashFS را در خود جای داده است که حاوی اجزای فایل خراب اضافی مرتبط با ایمپلنت درب پشتی Horse Shell است. علاوه بر این، سیستم عامل ناامن همچنین پنل مدیریت وب را تغییر می دهد و به طور موثری از فلش کردن تصویر میان افزار جدید روی روتر توسط صاحب دستگاه جلوگیری می کند و همچنین از ماندگاری عفونت اطمینان می دهد.

قابلیت های مضر کاشت صدف اسب

هنگامی که ایمپلنت درب پشتی Horse Shell فعال می شود، از چندین تکنیک برای اطمینان از ماندگاری و عملکرد مخفیانه آن استفاده می کند. در مرحله اول، به سیستم عامل دستور می دهد که هنگام صدور دستورات خاصی مانند SIGPIPE، SIGIN یا SIGABRT، فرآیند خود را خاتمه ندهد. علاوه بر این، خود را به دیمون تبدیل می‌کند و به آن اجازه می‌دهد بی‌صدا در پس‌زمینه اجرا شود.

در مرحله بعد، درب پشتی با سرور Command-and-Control (C2) عملیات ارتباط برقرار می کند. مشخصات دستگاه قربانی را ارسال می کند که شامل اطلاعاتی مانند نام کاربری، نسخه سیستم عامل، جزئیات دستگاه، آدرس IP، آدرس MAC و ویژگی های پشتیبانی شده ایمپلنت است.

پس از تکمیل مرحله راه اندازی، Horse Shell صبورانه منتظر دستورالعمل های سرور C2 است. به سه دستور خاص گوش می دهد:

  • شروع یک پوسته راه دور: این دستور به عوامل تهدید دسترسی کامل به دستگاه در معرض خطر را می دهد و آنها را قادر می سازد دستورات را اجرا کرده و فعالیت های ناامن را انجام دهند.

  • انجام فعالیت‌های انتقال فایل: درپشتی آپلود و دانلود فایل‌ها، دستکاری اولیه فایل‌ها و شمارش دایرکتوری را تسهیل می‌کند و به عوامل تهدید اجازه می‌دهد تا داده‌ها را روی دستگاه در معرض خطر دستکاری کنند.

  • شروع تونل زدن: Horse Shell می تواند تونل زنی را برای مبهم کردن مقصد و مبدا ترافیک شبکه آغاز کند. با پنهان کردن آدرس سرور C2، این تکنیک به حفظ مخفی بودن عملیات مهاجمان کمک می کند.

محققان خاطرنشان می‌کنند که ایمپلنت میان‌افزار Horse Shell به نوع مشخصی از میان‌افزار محدود نمی‌شود، بلکه دارای سیستم‌عامل ناشناس است. بنابراین، در تئوری، به طور بالقوه می‌توان از آن در تصاویر سیستم‌افزار برای روترهای فروشندگان مختلف استفاده کرد.

هدف قرار دادن روترهایی با امنیت ضعیف توسط هکرهای دولتی تعجب آور نیست. روترها اغلب توسط بات نت ها برای فعالیت هایی مانند حملات انکار سرویس توزیع شده (DDoS) یا عملیات استخراج رمزنگاری هدف قرار می گیرند. این حملات از اقدامات امنیتی اغلب نادیده گرفته شده روترها استفاده می کنند و به دستگاه های در معرض خطر اجازه می دهند تا به عنوان سکوهای پرتاب نامحسوس برای فعالیت های مضر عمل کنند و در عین حال مبدا مهاجم را پنهان کنند.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...