Kortingen op meerdere licenties
Threat Database Malware Horse Shell-malware

Horse Shell-malware

Tegen Mezo in Malware, Backdoors
Vertalen naar:
Nederlands

Een hackgroep die bekend staat als "Camaro Dragon", vermoedelijk door de staat gesponsord door China, is gevonden die residentiële TP-Link-routers infecteert met een aangepaste malware genaamd Horse Shell. Deze aanvalscampagne is specifiek gericht op Europese organisaties voor buitenlandse zaken.

De hackers gebruiken deze backdoor-malware via aangepaste en bedreigende firmware die is toegesneden op TP-Link-routers. Hierdoor kunnen ze aanvallen uitvoeren die afkomstig lijken te zijn van residentiële netwerken.

Dit type aanval is gericht op reguliere woon- en thuisnetwerken. Daarom betekent de infectie van een thuisrouter niet noodzakelijkerwijs dat de huiseigenaren zelf een specifiek doelwit waren; in plaats daarvan dienen hun apparaten om de aanvallers de weg te vergemakkelijken om hun doelen te bereiken.

Zodra de malware is ingezet, krijgen de bedreigingsactoren volledige toegang tot het geïnfecteerde apparaat. Dit omvat de mogelijkheid om shell-commando's uit te voeren, bestanden te uploaden en te downloaden en de router te gebruiken als een SOCKS-proxy om de communicatie tussen apparaten te vergemakkelijken.

Het onderzoek ontdekte het firmware-implantaat Horse Shell TP-Link in januari 2023. Ze hebben waargenomen dat de activiteiten van de hackers overlappen met een andere Chinese hackgroep die bekend staat als Mustang Panda, maar ze volgen de bedreigingsactoren onder de aparte naam Camaro Dragon.

Horse Shell wordt geïmplementeerd via onveilige TP-Link-firmware

Volgens de bevindingen van de cybersecurity-onderzoekers infecteren de aanvallers TP-Link-routers door een bedreigende firmware-image te introduceren. Dit is mogelijk bereikt door misbruik te maken van kwetsbaarheden in de software van de router of door te proberen de inloggegevens van de beheerder te raden door middel van brute force-methoden.

Zodra de bedreigingsactor beheerderstoegang krijgt tot de beheerinterface van de router, hebben ze de mogelijkheid om het apparaat op afstand bij te werken met de aangepaste firmware-image die de Horse Shell-malware bevat.

Tot dusver zijn twee voorbeelden van trojanized firmware-images ontdekt die speciaal zijn ontworpen voor TP-Link-routers. Deze schadelijke firmwareversies bevatten uitgebreide aanpassingen en toevoegingen aan de originele bestanden.

Bij het vergelijken van de geknoeide TP-Link-firmware met een legitieme versie, ontdekten de experts dat de kernel- en uBoot-secties identiek waren. De onveilige firmware bevatte echter een aangepast SquashFS-bestandssysteem dat aanvullende beschadigde bestandscomponenten bevatte die verband hielden met het Horse Shell-achterdeurimplantaat. Bovendien verandert de onveilige firmware ook het webbeheerpaneel, waardoor de eigenaar van het apparaat effectief wordt verhinderd om een nieuwe firmware-image naar de router te flashen en de persistentie van de infectie wordt gegarandeerd.

De schadelijke mogelijkheden van het paardenschildimplantaat

Zodra het Horse Shell-achterdeurimplantaat is geactiveerd, gebruikt het verschillende technieken om zijn persistentie en geheime werking te garanderen. Ten eerste instrueert het het besturingssysteem om het proces niet te beëindigen wanneer bepaalde opdrachten, zoals SIGPIPE, SIGIN of SIGABRT, worden gegeven. Bovendien converteert het zichzelf naar een daemon, waardoor het geruisloos op de achtergrond kan draaien.

Vervolgens maakt de backdoor verbinding met de Command-and-Control (C2)-server van de operatie. Het verzendt het machineprofiel van het slachtoffer, dat informatie bevat zoals de gebruikersnaam, de versie van het besturingssysteem, apparaatdetails, het IP-adres, het MAC-adres en de ondersteunde functies van het implantaat.

Nadat de installatiefase is voltooid, wacht Horse Shell geduldig op instructies van de C2-server. Het luistert naar drie specifieke commando's:

  • Start een externe shell: deze opdracht geeft de bedreigingsactoren volledige toegang tot het gecompromitteerde apparaat, waardoor ze opdrachten kunnen uitvoeren en onveilige activiteiten kunnen uitvoeren.
  • Voer bestandsoverdrachtactiviteiten uit: de achterdeur vergemakkelijkt het uploaden en downloaden van bestanden, elementaire bestandsmanipulatie en directory-inventarisatie, waardoor de bedreigingsactoren gegevens op het gecompromitteerde apparaat kunnen manipuleren.
  • Start tunneling: Horse Shell kan tunneling starten om de bestemming en oorsprong van netwerkverkeer te verdoezelen. Door het C2-serveradres te verbergen, helpt deze techniek de onopvallendheid van de operaties van de aanvallers te behouden.

Onderzoekers merken op dat het firmware-implantaat van Horse Shell niet beperkt is tot een apart type firmware, maar firmware-agnostisch is. Daarom zou het in theorie mogelijk kunnen worden gebruikt in firmware-images voor routers van verschillende leveranciers.

Het is niet verrassend dat slecht beveiligde routers worden aangevallen door door de staat gesponsorde hackers. Routers zijn vaak het doelwit van botnets voor activiteiten zoals gedistribueerde Denial-of-Service (DDoS)-aanvallen of cryptomining-operaties. Deze aanvallen maken gebruik van de vaak over het hoofd geziene beveiligingsmaatregelen van routers, waardoor de gecompromitteerde apparaten kunnen dienen als onopvallende lanceerplatforms voor schadelijke activiteiten, terwijl de oorsprong van de aanvaller wordt verdoezeld.

Trending

Meest bekeken

Bezig met laden...