Descontos para múltiplas licenças
Threat Database Malware Horse Shell Malware

Horse Shell Malware

Por Mezo em Malware, Backdoors
Traduzir Para:
Português

Um grupo de hackers conhecido como "Camaro Dragon", que se acredita ser patrocinado pelo estado da China, foi encontrado infectando roteadores residenciais TP-Link com um malware personalizado chamado Horse Shell. Esta campanha de ataque é dirigida especificamente a organizações europeias de relações exteriores.

Os hackers implantam esse malware backdoor por meio de firmware personalizado e ameaçador feito sob medida para roteadores TP-Link. Ao fazer isso, eles podem realizar ataques que parecem se originar de redes residenciais.

Esse tipo de ataque visa redes residenciais e domésticas regulares. Portanto, a infecção de um roteador doméstico não indica necessariamente que os próprios proprietários eram um alvo específico; em vez disso, seus dispositivos servem para facilitar o caminho para os invasores atingirem seus objetivos.

Depois que o malware é implantado, os agentes da ameaça obtêm acesso completo ao dispositivo infectado. Isso inclui a capacidade de executar comandos shell, fazer upload e download de arquivos e utilizar o roteador como um proxy SOCKS para facilitar a comunicação entre os dispositivos.

A pesquisa descobriu o implante de firmware Horse Shell TP-Link em janeiro de 2023. Eles observaram que as atividades dos hackers se sobrepõem a outro grupo de hackers chinês conhecido como Mustang Panda, mas estão rastreando os atores da ameaça sob o nome Camaro Dragon separado.

O Horse Shell é Implantado via o Firmware Inseguro TP-Link

De acordo com as descobertas dos pesquisadores de segurança cibernética, os invasores infectam os roteadores TP-Link introduzindo uma imagem de firmware ameaçadora. Isso pode ter sido obtido explorando vulnerabilidades no software do roteador ou tentando adivinhar as credenciais do administrador por meio de métodos de força bruta.

Depois que o agente da ameaça obtém acesso administrativo à interface de gerenciamento do roteador, ele tem a capacidade de atualizar remotamente o dispositivo com a imagem de firmware personalizada que contém o malware Horse Shell.

Duas amostras de imagens de firmware trojanizadas especificamente projetadas para roteadores TP-Link foram descobertas até agora. Essas versões de firmware prejudiciais contêm extensas modificações e adições aos arquivos originais.

Ao comparar o firmware adulterado do TP-Link com uma versão legítima, os especialistas descobriram que as seções do kernel e do uBoot eram idênticas. No entanto, o firmware inseguro incorporou um sistema de arquivos SquashFS personalizado que continha componentes de arquivo corrompidos adicionais associados ao implante de backdoor Horse Shell. Além disso, o firmware inseguro também altera o painel da Web de gerenciamento, impedindo efetivamente que o proprietário do dispositivo atualize uma nova imagem de firmware no roteador, além de garantir a persistência da infecção.

As Capacidades Prejudiciais do Implante do Horse Shell

Uma vez que o implante do backdoor Horse Shell é ativado, ele emprega várias técnicas para garantir sua persistência e operação secreta. Em primeiro lugar, instrui o sistema operacional a não encerrar seu processo quando determinados comandos, como SIGPIPE, SIGIN ou SIGABRT, forem emitidos. Além disso, ele se converte em um daemon, permitindo que seja executado silenciosamente em segundo plano.

Em seguida, o backdoor estabelece uma conexão com o servidor de comando e controle (C2) da operação. Ele envia o perfil da máquina da vítima, que inclui informações como nome de usuário, versão do sistema operacional, detalhes do dispositivo, endereço IP, endereço MAC e recursos suportados pelo implante.

Tendo completado a fase de configuração, Horse Shell aguarda pacientemente as instruções do servidor C2. Ele escuta três comandos específicos:

    • Inicia um shell remoto: Este comando concede aos agentes da ameaça acesso completo ao dispositivo comprometido, permitindo que eles executem comandos e realizem atividades inseguras.
    • Realiza atividades de transferência de arquivos: O backdoor facilita o upload e o download de arquivos, a manipulação básica de arquivos e a enumeração de diretórios, permitindo que os agentes da ameaça manipulem dados no dispositivo comprometido.
    • Inicia tunelamento: O Horse Shell pode iniciar o tunelamento para ofuscar o destino e a origem do tráfego de rede. Ao ocultar o endereço do servidor C2, essa técnica ajuda a manter a discrição das operações dos invasores.

Os pesquisadores observam que o implante de firmware Horse Shell não se limita a um tipo distinto de firmware, mas é independente de firmware. Portanto, em teoria, poderia ser usado em imagens de firmware para roteadores de vários fornecedores.

O alvo de roteadores mal protegidos por hackers patrocinados pelo estado não é surpreendente. Os roteadores costumam ser alvo de botnets para atividades como ataques Distribuídos de Negação de Serviço (DDoS) ou operações de mineração de criptografia. Esses ataques tiram proveito das medidas de segurança frequentemente negligenciadas dos roteadores, permitindo que os dispositivos comprometidos sirvam como plataformas de lançamento discretas para atividades prejudiciais enquanto obscurecem a origem do invasor.

 

Tendendo

Mais visto

Carregando...