Flerlicensrabatter
Threat Database Malware Horse Shell Malware

Horse Shell Malware

Med Mezo år Malware, Backdoors
Översätt till:
Svenska

En hackningsgrupp känd som "Camaro Dragon", som tros vara statligt sponsrad av Kina, har hittats infektera TP-Link-routrar i hemmet med en anpassad skadlig kod som kallas Horse Shell. Denna attackkampanj är specifikt inriktad på europeiska utrikesorganisationer.

Hackarna distribuerar denna bakdörr skadlig programvara genom anpassad och hotfull firmware skräddarsydd för TP-Link-routrar. Genom att göra det kan de utföra attacker som ser ut att komma från bostadsnätverk.

Denna typ av attack är inriktad på vanliga bostads- och hemnätverk. Infektionen av en hemmarouter betyder därför inte nödvändigtvis att husägarna själva var ett specifikt mål; snarare tjänar deras enheter till att underlätta för angriparna att nå sina mål.

När skadlig programvara har distribuerats får hotaktörerna fullständig tillgång till den infekterade enheten. Detta inkluderar möjligheten att utföra skalkommandon, ladda upp och ladda ner filer och använda routern som en SOCKS-proxy för att underlätta kommunikation mellan enheter.

Forskningen upptäckte Horse Shell TP-Link firmware-implantatet i januari 2023. De har observerat att hackarnas aktiviteter överlappar en annan kinesisk hackergrupp känd som Mustang Panda, men de spårar hotaktörerna under det separata namnet Camaro Dragon.

Horse Shell distribueras via osäker TP-Link Firmware

Enligt resultaten från cybersäkerhetsforskarna infekterar angriparna TP-Link-routrar genom att introducera en hotfull firmware-bild. Detta kan ha uppnåtts genom att utnyttja sårbarheter i routerns programvara eller genom att försöka gissa administratörens referenser genom brute-force-metoder.

När hotaktören får administrativ åtkomst till routerns hanteringsgränssnitt har de möjlighet att fjärruppdatera enheten med den anpassade firmwarebilden som innehåller skadlig programvara från Horse Shell.

Två prover av trojaniserade firmware-bilder speciellt designade för TP-Link-routrar har hittills upptäckts. Dessa skadliga firmwareversioner innehåller omfattande modifieringar och tillägg till originalfilerna.

När experterna jämförde den manipulerade TP-Link-firmwaren med en legitim version, fann experterna att kärnan och uBoot-sektionerna var identiska. Den osäkra firmwaren innehöll dock ett anpassat SquashFS-filsystem som innehöll ytterligare korrupta filkomponenter associerade med Horse Shell-bakdörrsimplantatet. Dessutom ändrar den osäkra firmwaren även hanteringswebbpanelen, vilket effektivt förhindrar enhetsägaren från att blinka en ny firmwarebild på routern samt säkerställer att infektionen består.

Hästskalsimplantatets skadliga egenskaper

När Horse Shell-bakdörrsimplantatet har aktiverats använder det flera tekniker för att säkerställa dess uthållighet och dold funktion. För det första instruerar den operativsystemet att inte avsluta sin process när vissa kommandon, såsom SIGPIPE, SIGIN eller SIGABRT, utfärdas. Dessutom konverterar den sig själv till en demon, så att den kan köras tyst i bakgrunden.

Därefter upprättar bakdörren en anslutning med kommando-och-kontroll-servern (C2) för operationen. Den skickar offrets maskinprofil, som inkluderar information som användarnamn, operativsystemversion, enhetsdetaljer, IP-adress, MAC-adress och funktioner som stöds av implantatet.

Efter att ha slutfört installationsfasen, väntar Horse Shell tålmodigt på instruktioner från C2-servern. Den lyssnar efter tre specifika kommandon:

  • Starta ett fjärrskal: Detta kommando ger hotaktörerna fullständig åtkomst till den komprometterade enheten, vilket gör att de kan utföra kommandon och utföra osäkra aktiviteter.
  • Utför filöverföringsaktiviteter: Bakdörren underlättar uppladdning och nedladdning av filer, grundläggande filmanipulation och kataloguppräkning, vilket gör att hotaktörerna kan manipulera data på den komprometterade enheten.
  • Starta tunnling: Horse Shell kan initiera tunnling för att fördunkla destinationen och ursprunget för nätverkstrafik. Genom att dölja C2-serveradressen hjälper den här tekniken till att upprätthålla smygheten i angriparnas verksamhet.

Forskare noterar att Horse Shell firmware-implantatet inte är begränsat till en distinkt typ av firmware utan är firmware-agnostisk. Därför skulle det i teorin potentiellt kunna användas i firmware-bilder för routrar från olika leverantörer.

Inriktningen på dåligt säkrade routrar av statligt sponsrade hackare är inte förvånande. Routrar riktas ofta mot botnät för aktiviteter som distribuerade DDoS-attacker (Denial-of-Service) eller kryptomining. Dessa attacker drar fördel av routrars ofta förbisedda säkerhetsåtgärder, vilket gör att de komprometterade enheterna kan fungera som oansenliga startramper för skadliga aktiviteter samtidigt som angriparens ursprung döljs.

Trendigt

Mest sedda

Läser in...