Попусти за више лиценци
Threat Database Malware Злонамерни софтвер Хорсе Схелл

Злонамерни софтвер Хорсе Схелл

До Mezo. у Malware, Backdoors
Преведи на:
Српски

Утврђено је да хакерска група позната као "Цамаро Драгон", за коју се верује да је спонзорише Кина, инфицира кућне ТП-Линк рутере прилагођеним малвером званим Хорсе Схелл. Ова кампања напада је посебно усмерена на европске спољнополитичке организације.

Хакери примењују овај бацкдоор малвер кроз прилагођени и претећи фирмвер прилагођен ТП-Линк рутерима. На тај начин они могу да изврше нападе за које се чини да потичу из стамбених мрежа.

Ова врста напада циља на обичне стамбене и кућне мреже. Стога, инфекција кућног рутера не значи нужно да су сами власници куће били специфична мета; него, њихови уређаји служе да олакшају пут нападачима да остваре своје циљеве.

Када се малвер примени, актери претње добијају потпун приступ зараженом уређају. Ово укључује могућност извршавања команди љуске, отпремања и преузимања датотека и коришћења рутера као СОЦКС проксија да би се олакшала комуникација између уређаја.

Истраживање је открило имплантат фирмвера Хорсе Схелл ТП-Линк у јануару 2023. Они су приметили да се активности хакера преклапају са другом кинеском хакерском групом познатом као Мустанг Панда, али они прате актере претњи под посебним именом Цамаро Драгон.

Хорсе Схелл се поставља преко небезбедног ТП-Линк фирмвера

Према налазима истраживача сајбер безбедности, нападачи инфицирају ТП-Линк рутере увођењем претеће слике фирмвера. Ово је можда постигнуто искоришћавањем рањивости у софтверу рутера или покушајем да се погоде администраторски акредитиви методом грубе силе.

Када актер претње добије административни приступ интерфејсу за управљање рутера, има могућност да даљински ажурира уређај помоћу прилагођене слике фирмвера која садржи малвер Хорсе Схелл.

До сада су откривена два узорка тројанизованих слика фирмвера посебно дизајнираних за ТП-Линк рутере. Ове штетне верзије фирмвера садрже опсежне модификације и додатке оригиналним датотекама.

Упоређујући неовлашћени ТП-Линк фирмвер са легитимном верзијом, стручњаци су открили да су делови кернела и уБоот идентични. Међутим, небезбедни фирмвер је укључио прилагођени систем датотека СкуасхФС који је садржао додатне оштећене компоненте датотеке повезане са Хорсе Схелл бацкдоор имплантом. Штавише, небезбедан фирмвер такође мења веб панел за управљање, ефикасно спречавајући власника уређаја да флешује нову слику фирмвера на рутер, као и обезбеђујући постојаност инфекције.

Штетне способности имплантата коњске шкољке

Једном када се активира стражњи имплант Хорсе Схелл, он користи неколико техника како би осигурао његову постојаност и тајни рад. Прво, он налаже оперативном систему да не прекида свој процес када се издају одређене команде, као што су СИГПИПЕ, СИГИН или СИГАБРТ. Поред тога, претвара се у демона, омогућавајући му да тихо ради у позадини.

Затим, бацкдоор успоставља везу са сервером за команду и контролу (Ц2) операције. Он шаље профил машине жртве, који укључује информације као што су корисничко име, верзија оперативног система, детаљи о уређају, ИП адреса, МАЦ адреса и подржане карактеристике имплантата.

Након завршетка фазе подешавања, Хорсе Схелл стрпљиво чека упутства од Ц2 сервера. Слуша три специфичне команде:

  • Покрените удаљену љуску: Ова команда даје актерима претње потпуни приступ компромитованом уређају, омогућавајући им да извршавају команде и спроводе небезбедне активности.
  • Извршите активности преноса датотека: Бацкдоор олакшава отпремање и преузимање датотека, основну манипулацију датотекама и набрајање директоријума, омогућавајући актерима претњи да манипулишу подацима на компромитованом уређају.
  • Започни тунелирање: Хорсе Схелл може покренути тунелирање како би замаглио одредиште и порекло мрежног саобраћаја. Сакривањем адресе сервера Ц2, ова техника помаже у одржавању прикривености операција нападача.

Истраживачи примећују да имплантација фирмвера Хорсе Схелл није ограничена на посебан тип фирмвера, већ је независна од фирмвера. Стога, у теорији, потенцијално би се могао користити у сликама фирмвера за рутере различитих произвођача.

Није изненађујуће циљање лоше обезбеђених рутера од стране хакера које спонзорише држава. Рутери су често на мети ботнета за активности као што су дистрибуирани напади ускраћивања услуге (ДДоС) или операције крипто рударења. Ови напади користе предност често занемарених безбедносних мера рутера, омогућавајући компромитованим уређајима да служе као неупадљиве лансирне подлоге за штетне активности док прикривају порекло нападача.

У тренду

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
15,882
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...