Kelių licencijų nuolaidos
Threat Database Malware Horse Shell kenkėjiška programa

Horse Shell kenkėjiška programa

Autorius Mezo, Malware, Backdoors
Versti į:
Lietuvių

Nustatyta, kad įsilaužimo grupė, žinoma kaip „Camaro Dragon“, kurią, kaip manoma, remia Kinija, užkrečia gyvenamųjų namų TP-Link maršrutizatorius tinkinta kenkėjiška programa, vadinama Horse Shell. Ši atakų kampanija yra specialiai skirta Europos užsienio reikalų organizacijoms.

Įsilaužėliai diegia šią užpakalinių durų kenkėjišką programą naudodami tinkintą ir grėsmingą programinę-aparatinę įrangą, pritaikytą TP-Link maršrutizatoriams. Tai darydami jie gali vykdyti atakas, kurios, atrodo, kyla iš gyvenamųjų tinklų.

Šio tipo atakos nukreiptos į įprastus gyvenamuosius ir namų tinklus. Todėl namų maršrutizatoriaus užkrėtimas nebūtinai rodo, kad patys namų savininkai buvo konkretus taikinys; veikiau jų įrenginiai padeda užpuolikams pasiekti savo tikslus.

Kai kenkėjiška programa yra įdiegta, grėsmės veikėjai įgyja visišką prieigą prie užkrėsto įrenginio. Tai apima galimybę vykdyti apvalkalo komandas, įkelti ir atsisiųsti failus ir naudoti maršrutizatorių kaip SOCKS tarpinį serverį, kad būtų lengviau bendrauti tarp įrenginių.

2023 m. sausio mėn. buvo aptiktas Horse Shell TP-Link programinės aparatinės įrangos implantas. Jie pastebėjo, kad įsilaužėlių veikla sutampa su kita Kinijos įsilaužėlių grupe, žinoma kaip Mustang Panda, tačiau jie seka grėsmės veikėjus naudodami atskirą Camaro Dragon pavadinimą.

„Horse Shell“ yra įdiegta naudojant nesaugią „TP-Link“ programinę-aparatinę įrangą

Remiantis kibernetinio saugumo tyrėjų išvadomis, užpuolikai užkrečia TP-Link maršrutizatorius, įvesdami grėsmingą programinės įrangos vaizdą. Tai galėjo būti pasiekta išnaudojant maršrutizatoriaus programinės įrangos pažeidžiamumą arba bandant atspėti administratoriaus kredencialus taikant brutalios jėgos metodus.

Kai grėsmės veikėjas gauna administracinę prieigą prie maršrutizatoriaus valdymo sąsajos, jis turi galimybę nuotoliniu būdu atnaujinti įrenginį pritaikytu programinės aparatinės įrangos vaizdu, kuriame yra kenkėjiška programa Horse Shell.

Iki šiol buvo aptikti du trojanizuotų programinės įrangos vaizdų, specialiai sukurtų TP-Link maršrutizatoriams, pavyzdžiai. Šiose kenksmingose programinės įrangos versijose yra daug originalių failų modifikacijų ir papildymų.

Lygindami sugadintą TP-Link programinę-aparatinę įrangą su teisėta versija, ekspertai nustatė, kad branduolio ir uBoot skyriai buvo identiški. Tačiau nesaugi programinė įranga įtraukė pasirinktinę SquashFS failų sistemą, kurioje buvo papildomų sugadintų failų komponentų, susijusių su Horse Shell galinių durų implantu. Be to, nesaugi programinė įranga taip pat pakeičia valdymo žiniatinklio skydelį, veiksmingai neleisdama įrenginio savininkui įjungti naujos programinės aparatinės įrangos vaizdo maršrutizatoriuje, taip pat užtikrindama infekcijos išlikimą.

Arklio kiauto implanto žalingos savybės

Suaktyvinus Horse Shell užpakalinių durų implantą, jame naudojami keli būdai, užtikrinantys jo patvarumą ir slaptą veikimą. Pirma, ji nurodo operacinei sistemai nenutraukti savo proceso, kai išduodamos tam tikros komandos, pvz., SIGPIPE, SIGIN arba SIGABRT. Be to, jis paverčiamas demonu, leidžiančiu tyliai veikti fone.

Tada užpakalinės durys užmezga ryšį su operacijos komandų ir valdymo (C2) serveriu. Jis siunčia aukos įrenginio profilį, kuriame yra tokia informacija kaip vartotojo vardas, operacinės sistemos versija, įrenginio informacija, IP adresas, MAC adresas ir palaikomos implanto funkcijos.

Baigęs sąrankos etapą, Horse Shell kantriai laukia nurodymų iš C2 serverio. Jis klauso trijų konkrečių komandų:

  • Paleisti nuotolinį apvalkalą: ši komanda grėsmės veikėjams suteikia visišką prieigą prie pažeisto įrenginio, leidžiantį vykdyti komandas ir vykdyti nesaugią veiklą.
  • Atlikite failų persiuntimo veiksmus: Užpakalinės durys palengvina failų įkėlimą ir atsisiuntimą, pagrindinį failų manipuliavimą ir katalogų išvardinimą, leidžiant grėsmės veikėjams manipuliuoti pažeistame įrenginyje esančiais duomenimis.
  • Pradėti tuneliavimą: „Horse Shell“ gali inicijuoti tuneliavimą, kad užtemdytų tinklo srauto paskirties vietą ir kilmę. Slepiant C2 serverio adresą, ši technika padeda išlaikyti užpuolikų operacijų slaptumą.

Tyrėjai pažymi, kad „Horse Shell“ programinės aparatinės įrangos implantas neapsiriboja atskiro tipo programine įranga, bet yra agnostinis. Todėl teoriškai jis gali būti naudojamas įvairių pardavėjų maršrutizatorių programinės įrangos atvaizduose.

Valstybės remiamų įsilaužėlių taikymas į prastai apsaugotus maršrutizatorius nestebina. Maršrutizatoriai dažnai yra robotų tinklų taikiniai tokiai veiklai kaip paskirstytos paslaugų atsisakymo (DDoS) atakos arba kriptovaliutų gavybos operacijos. Šios atakos naudojasi maršrutizatorių dažnai nepastebimomis saugos priemonėmis, leidžiančiomis pažeistiems įrenginiams veikti kaip nepastebimai žalingos veiklos paleidimo aparatai, o užmaskuojant užpuoliko kilmę.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
15,882
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...