Sconti per licenze multiple
Threat Database Malware Malware guscio di cavallo

Malware guscio di cavallo

Entro Mezo nel Malware, Backdoors
Traduci in:
Italiano

Un gruppo di hacker noto come "Camaro Dragon", ritenuto sponsorizzato dallo stato cinese, è stato scoperto mentre infettava i router TP-Link residenziali con un malware personalizzato chiamato Horse Shell. Questa campagna di attacco è specificamente mirata alle organizzazioni europee per gli affari esteri.

Gli hacker distribuiscono questo malware backdoor tramite firmware personalizzato e minaccioso su misura per i router TP-Link. In tal modo, possono eseguire attacchi che sembrano provenire da reti residenziali.

Questo tipo di attacco prende di mira le normali reti residenziali e domestiche. Pertanto, l'infezione di un router domestico non indica necessariamente che gli stessi proprietari di casa fossero un obiettivo specifico; piuttosto, i loro dispositivi servono a facilitare agli aggressori la strada per raggiungere i loro obiettivi.

Una volta distribuito il malware, gli autori delle minacce ottengono l'accesso completo al dispositivo infetto. Ciò include la possibilità di eseguire comandi shell, caricare e scaricare file e utilizzare il router come proxy SOCKS per facilitare la comunicazione tra dispositivi.

La ricerca ha scoperto l'impianto del firmware TP-Link di Horse Shell nel gennaio 2023. Hanno osservato che le attività degli hacker si sovrappongono a un altro gruppo di hacker cinese noto come Mustang Panda, ma stanno monitorando gli attori delle minacce con il nome separato di Camaro Dragon.

Horse Shell viene distribuito tramite un firmware TP-Link non sicuro

Secondo i risultati dei ricercatori sulla sicurezza informatica, gli aggressori infettano i router TP-Link introducendo un'immagine firmware minacciosa. Ciò potrebbe essere stato ottenuto sfruttando le vulnerabilità nel software del router o tentando di indovinare le credenziali dell'amministratore tramite metodi di forza bruta.

Una volta che l'autore della minaccia ottiene l'accesso amministrativo all'interfaccia di gestione del router, ha la possibilità di aggiornare in remoto il dispositivo con l'immagine del firmware personalizzata contenente il malware Horse Shell.

Finora sono stati scoperti due campioni di immagini firmware trojanizzate specificamente progettate per i router TP-Link. Queste versioni dannose del firmware contengono ampie modifiche e aggiunte ai file originali.

Confrontando il firmware TP-Link manomesso con una versione legittima, gli esperti hanno scoperto che le sezioni del kernel e di uBoot erano identiche. Tuttavia, il firmware non sicuro incorporava un file system SquashFS personalizzato che conteneva ulteriori componenti di file danneggiati associati all'impianto backdoor di Horse Shell. Inoltre, il firmware non sicuro altera anche il pannello Web di gestione, impedendo di fatto al proprietario del dispositivo di eseguire il flashing di una nuova immagine del firmware sul router e garantendo la persistenza dell'infezione.

Le capacità dannose dell'impianto di guscio di cavallo

Una volta attivato, l'impianto della backdoor Horse Shell utilizza diverse tecniche per garantirne la persistenza e il funzionamento segreto. In primo luogo, indica al sistema operativo di non terminare il suo processo quando vengono emessi determinati comandi, come SIGPIPE, SIGIN o SIGABRT. Inoltre, si converte in un demone, permettendogli di funzionare silenziosamente in background.

Successivamente, la backdoor stabilisce una connessione con il server Command-and-Control (C2) dell'operazione. Invia il profilo della macchina della vittima, che include informazioni come il nome utente, la versione del sistema operativo, i dettagli del dispositivo, l'indirizzo IP, l'indirizzo MAC e le funzionalità supportate dell'impianto.

Dopo aver completato la fase di configurazione, Horse Shell attende pazientemente le istruzioni dal server C2. Ascolta tre comandi specifici:

  • Avvia una shell remota: questo comando garantisce agli autori delle minacce l'accesso completo al dispositivo compromesso, consentendo loro di eseguire comandi ed eseguire attività non sicure.
  • Eseguire attività di trasferimento di file: la backdoor facilita il caricamento e il download di file, la manipolazione di base dei file e l'enumerazione delle directory, consentendo agli autori delle minacce di manipolare i dati sul dispositivo compromesso.
  • Avvia tunneling: Horse Shell può avviare il tunneling per offuscare la destinazione e l'origine del traffico di rete. Nascondendo l'indirizzo del server C2, questa tecnica aiuta a mantenere la segretezza delle operazioni degli aggressori.

I ricercatori notano che l'impianto del firmware Horse Shell non è limitato a un tipo distinto di firmware, ma è indipendente dal firmware. Pertanto, in teoria, potrebbe essere potenzialmente utilizzato nelle immagini del firmware per router di vari fornitori.

Il targeting di router scarsamente protetti da parte di hacker sponsorizzati dallo stato non è sorprendente. I router sono spesso presi di mira dalle botnet per attività come attacchi Denial-of-Service (DDoS) distribuiti o operazioni di cripto-mining. Questi attacchi sfruttano le misure di sicurezza spesso trascurate dei router, consentendo ai dispositivi compromessi di fungere da piattaforme di lancio poco appariscenti per attività dannose oscurando l'origine dell'aggressore.

Tendenza

I più visti

Caricamento in corso...