말 껍데기 악성코드

중국 정부의 지원을 받는 것으로 알려진 "카마로 드래곤"으로 알려진 해킹 그룹이 가정용 TP-Link 라우터를 Horse Shell이라는 맞춤형 악성코드로 감염시킨 것으로 밝혀졌습니다. 이 공격 캠페인은 특히 유럽 외교 조직을 대상으로 합니다.

해커는 TP-Link 라우터용으로 맞춤화된 위협적인 펌웨어를 통해 이 백도어 맬웨어를 배포합니다. 그렇게 함으로써 주거지 네트워크에서 시작된 것처럼 보이는 공격을 수행할 수 있습니다.

이러한 유형의 공격은 일반 주거 및 홈 네트워크를 대상으로 합니다. 따라서 홈 라우터의 감염이 반드시 집주인 자체가 특정 대상임을 나타내는 것은 아닙니다. 오히려 그들의 장치는 공격자가 목표를 달성하는 방법을 용이하게 하는 역할을 합니다.

맬웨어가 배포되면 위협 행위자는 감염된 장치에 대한 완전한 액세스 권한을 얻습니다. 여기에는 셸 명령 실행, 파일 업로드 및 다운로드, 장치 간 통신을 용이하게 하기 위해 라우터를 SOCKS 프록시로 활용하는 기능이 포함됩니다.

이 연구는 2023년 1월에 Horse Shell TP-Link 펌웨어 이식을 발견했습니다. 그들은 해커들의 활동이 Mustang Panda로 알려진 다른 중국 해킹 그룹과 겹치는 것을 관찰했지만 별도의 Camaro Dragon 이름으로 위협 행위자를 추적하고 있습니다.

Horse Shell은 안전하지 않은 TP-Link 펌웨어를 통해 배포됩니다.

사이버 보안 연구원의 조사 결과에 따르면 공격자는 위협적인 펌웨어 이미지를 도입하여 TP-Link 라우터를 감염시킵니다. 이것은 라우터 소프트웨어의 취약성을 악용하거나 무차별 대입 방법을 통해 관리자의 자격 증명을 추측하려고 시도함으로써 달성되었을 수 있습니다.

공격자가 라우터의 관리 인터페이스에 대한 관리 액세스 권한을 얻으면 Horse Shell 악성코드가 포함된 맞춤형 펌웨어 이미지로 장치를 원격으로 업데이트할 수 있습니다.

지금까지 TP-Link 라우터용으로 특별히 설계된 트로이목마 펌웨어 이미지 샘플 2개가 발견되었습니다. 이러한 유해한 펌웨어 버전에는 원본 파일에 대한 광범위한 수정 및 추가가 포함되어 있습니다.

변조된 TP-Link 펌웨어를 합법적인 버전과 비교한 결과, 전문가들은 커널과 uBoot 섹션이 동일하다는 것을 발견했습니다. 그러나 안전하지 않은 펌웨어는 Horse Shell 백도어 임플란트와 관련된 추가 손상된 파일 구성 요소가 포함된 사용자 지정 SquashFS 파일 시스템을 통합했습니다. 또한 안전하지 않은 펌웨어는 관리 웹 패널을 변경하여 장치 소유자가 라우터에 새 펌웨어 이미지를 플래시하는 것을 효과적으로 방지하고 감염의 지속성을 보장합니다.

말 껍데기 임플란트의 유해성

Horse Shell 백도어 임플란트가 활성화되면 여러 기술을 사용하여 지속성과 은밀한 작동을 보장합니다. 첫째, SIGPIPE, SIGIN 또는 SIGABRT와 같은 특정 명령이 실행될 때 프로세스를 종료하지 않도록 운영 체제에 지시합니다. 또한 자체를 데몬으로 변환하여 백그라운드에서 자동으로 실행할 수 있습니다.

다음으로 백도어는 작업의 명령 및 제어(C2) 서버와 연결을 설정합니다. 사용자 이름, 운영 체제 버전, 장치 세부 정보, IP 주소, MAC 주소 및 지원되는 임플란트 기능과 같은 정보가 포함된 피해자의 기계 프로필을 보냅니다.

설정 단계를 완료한 Horse Shell은 C2 서버의 지시를 참을성 있게 기다립니다. 세 가지 특정 명령을 수신합니다.

• 원격 셸 시작: 이 명령은 공격자에게 손상된 장치에 대한 완전한 액세스 권한을 부여하여 명령을 실행하고 안전하지 않은 활동을 수행할 수 있도록 합니다.
• 파일 전송 활동 수행: 백도어는 파일 업로드 및 다운로드, 기본 파일 조작 및 디렉터리 열거를 용이하게 하여 공격자가 손상된 장치에서 데이터를 조작할 수 있도록 합니다.
• 터널링 시작: Horse Shell은 터널링을 시작하여 네트워크 트래픽의 목적지와 출처를 난독화할 수 있습니다. C2 서버 주소를 숨김으로써 이 기술은 공격자의 은밀한 작업을 유지하는 데 도움이 됩니다.

연구원들은 Horse Shell 펌웨어 이식이 특정 유형의 펌웨어에 국한되지 않고 펌웨어에 구애받지 않는다는 점에 주목합니다. 따라서 이론상으로는 다양한 공급업체의 라우터용 펌웨어 이미지에 잠재적으로 사용될 수 있습니다.

국가 지원을 받는 해커가 보안이 취약한 라우터를 표적으로 삼는 것은 놀라운 일이 아닙니다. 라우터는 종종 분산 서비스 거부(DDoS) 공격 또는 암호화 채굴 작업과 같은 활동을 위해 봇넷의 표적이 됩니다. 이러한 공격은 종종 간과되는 라우터의 보안 조치를 이용하여 손상된 장치가 공격자의 출처를 숨기면서 유해한 활동에 대한 눈에 띄지 않는 실행 패드 역할을 할 수 있도록 합니다.