Vairāku licenču atlaides
Threat Database Malware Horse Shell ļaunprātīga programmatūra

Horse Shell ļaunprātīga programmatūra

Līdz Mezo. gadam Malware, Backdoors. gadā
Tulkot uz:
Latviešu

Ir konstatēts, ka uzlaušanas grupa, kas pazīstama kā "Camaro Dragon", kuru valsts sponsorē Ķīna, ir inficējusi dzīvojamo māju TP-Link maršrutētājus ar pielāgotu ļaunprogrammatūru Horse Shell. Šī uzbrukuma kampaņa ir īpaši vērsta pret Eiropas ārlietu organizācijām.

Hakeri izvieto šo aizmugures ļaunprātīgo programmatūru, izmantojot pielāgotu un draudīgu programmaparatūru, kas pielāgota TP-Link maršrutētājiem. To darot, viņi var veikt uzbrukumus, kas, šķiet, nāk no dzīvojamo tīklu tīkliem.

Šāda veida uzbrukums ir vērsts uz parastajiem dzīvojamo un mājas tīkliem. Tāpēc mājas maršrutētāja inficēšanās ne vienmēr norāda, ka paši māju īpašnieki bija konkrēts mērķis; drīzāk viņu ierīces kalpo, lai atvieglotu uzbrucēju veidu, kā sasniegt savus mērķus.

Kad ļaunprogrammatūra ir izvietota, apdraudējuma dalībnieki iegūst pilnīgu piekļuvi inficētajai ierīcei. Tas ietver iespēju izpildīt čaulas komandas, augšupielādēt un lejupielādēt failus un izmantot maršrutētāju kā SOCKS starpniekserveri, lai atvieglotu saziņu starp ierīcēm.

Pētījumā 2023. gada janvārī tika atklāts Horse Shell TP-Link programmaparatūras implants. Viņi ir novērojuši, ka hakeru darbības pārklājas ar citu Ķīnas hakeru grupu, kas pazīstama kā Mustang Panda, taču viņi izseko apdraudējuma dalībniekus ar atsevišķu Camaro Dragon nosaukumu.

Horse Shell tiek izvietots, izmantojot nedrošu TP-Link programmaparatūru

Saskaņā ar kiberdrošības pētnieku atklājumiem, uzbrucēji inficē TP-Link maršrutētājus, ieviešot draudīgu programmaparatūras attēlu. Iespējams, tas tika panākts, izmantojot maršrutētāja programmatūras ievainojamības vai mēģinot uzminēt administratora akreditācijas datus, izmantojot brutāla spēka metodes.

Kad apdraudējuma dalībnieks iegūst administratīvu piekļuvi maršrutētāja pārvaldības saskarnei, viņam ir iespēja attālināti atjaunināt ierīci ar pielāgotu programmaparatūras attēlu, kas satur Horse Shell ļaunprātīgu programmatūru.

Līdz šim ir atklāti divi trojanizētas programmaparatūras attēlu paraugi, kas īpaši paredzēti TP-Link maršrutētājiem. Šīs kaitīgās programmaparatūras versijas satur plašas sākotnējo failu modifikācijas un papildinājumus.

Salīdzinot bojāto TP-Link programmaparatūru ar likumīgu versiju, eksperti atklāja, ka kodola un uBoot sadaļas ir identiskas. Tomēr nedrošā programmaparatūra ietvēra pielāgotu SquashFS failu sistēmu, kurā bija papildu bojāti failu komponenti, kas saistīti ar Horse Shell aizmugures durvju implantu. Turklāt nedrošā programmaparatūra maina arī pārvaldības tīmekļa paneli, efektīvi neļaujot ierīces īpašniekam maršrutētājam parādīt jaunu programmaparatūras attēlu, kā arī nodrošinot infekcijas noturību.

Zirga čaumalas implanta kaitīgās iespējas

Kad Horse Shell aizmugures durvju implants ir aktivizēts, tajā tiek izmantotas vairākas metodes, lai nodrošinātu tā noturību un slēptu darbību. Pirmkārt, tas norāda operētājsistēmai nepārtraukt savu procesu, kad tiek izdotas noteiktas komandas, piemēram, SIGPIPE, SIGIN vai SIGABRT. Turklāt tas pārvērš sevi par dēmonu, ļaujot tam klusi darboties fonā.

Pēc tam aizmugures durvis izveido savienojumu ar operācijas Command-and-Control (C2) serveri. Tas nosūta cietušā mašīnas profilu, kurā ir iekļauta tāda informācija kā lietotājvārds, operētājsistēmas versija, ierīces informācija, IP adrese, MAC adrese un implanta atbalstītās funkcijas.

Pabeidzis iestatīšanas fāzi, Horse Shell pacietīgi gaida norādījumus no C2 servera. Tas klausās trīs īpašas komandas:

  • Sākt attālo čaulu: šī komanda draudu dalībniekiem nodrošina pilnīgu piekļuvi apdraudētajai ierīcei, ļaujot tiem izpildīt komandas un veikt nedrošas darbības.
  • Veiciet failu pārsūtīšanas darbības: aizmugures durvis atvieglo failu augšupielādi un lejupielādi, pamata failu manipulācijas un direktoriju uzskaitīšanu, ļaujot apdraudējuma dalībniekiem manipulēt ar datiem apdraudētajā ierīcē.
  • Sākt tunelēšanu: Horse Shell var sākt tunelēšanu, lai neskaidru tīkla trafika galamērķi un izcelsmi. Slēpjot C2 servera adresi, šis paņēmiens palīdz saglabāt uzbrucēju darbību slepenību.

Pētnieki atzīmē, ka Horse Shell programmaparatūras implants neaprobežojas tikai ar noteiktu programmaparatūras veidu, bet ir programmaparatūras agnostisks. Tāpēc teorētiski to varētu izmantot dažādu piegādātāju maršrutētāju programmaparatūras attēlos.

Tas, ka valsts sponsorēti hakeri vēršas pret slikti nodrošinātiem maršrutētājiem, nav pārsteidzoši. Rotu tīkli bieži vien ir vērsti uz maršrutētājiem tādām darbībām kā izplatīti pakalpojumu atteikuma (DDoS) uzbrukumi vai šifrēšanas operācijas. Šajos uzbrukumos tiek izmantoti maršrutētāju bieži aizmirstie drošības pasākumi, ļaujot apdraudētajām ierīcēm kalpot par neuzkrītošām palaišanas vietām kaitīgām darbībām, vienlaikus aizsedzot uzbrucēja izcelsmi.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
15,882
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...