ส่วนลดหลายใบอนุญาต
Threat Database Malware มัลแวร์ Horse Shell

มัลแวร์ Horse Shell

โดย Mezo ใน Malware, Backdoors
แปลเป็น:
ภาษาไทย

กลุ่มแฮ็กที่รู้จักกันในชื่อ "Camaro Dragon" ซึ่งเชื่อว่าได้รับการสนับสนุนจากรัฐของจีน ได้ถูกตรวจพบว่าได้แพร่ระบาดในเราเตอร์ TP-Link ที่อยู่อาศัยด้วยมัลแวร์ที่เรียกว่า Horse Shell แคมเปญโจมตีนี้มุ่งเป้าไปที่องค์กรกิจการต่างประเทศของยุโรปโดยเฉพาะ

แฮ็กเกอร์ใช้มัลแวร์ลับนี้ผ่านเฟิร์มแวร์ที่ปรับแต่งและคุกคามซึ่งปรับแต่งมาสำหรับเราเตอร์ TP-Link เมื่อทำเช่นนั้น พวกเขาสามารถดำเนินการโจมตีที่ดูเหมือนจะมาจากเครือข่ายที่อยู่อาศัย

การโจมตีประเภทนี้มุ่งเป้าไปที่เครือข่ายที่อยู่อาศัยและที่บ้านเป็นประจำ ดังนั้นการติดไวรัสของเราเตอร์ในบ้านจึงไม่จำเป็นต้องระบุว่าเจ้าของบ้านเองเป็นเป้าหมายเฉพาะ แต่อุปกรณ์ของพวกเขาทำหน้าที่อำนวยความสะดวกให้ผู้โจมตีบรรลุเป้าหมาย

เมื่อติดตั้งมัลแวร์แล้ว ผู้คุกคามจะสามารถเข้าถึงอุปกรณ์ที่ติดไวรัสได้อย่างสมบูรณ์ ซึ่งรวมถึงความสามารถในการดำเนินการคำสั่งเชลล์ อัปโหลดและดาวน์โหลดไฟล์ และใช้เราเตอร์เป็นพร็อกซี SOCKS เพื่ออำนวยความสะดวกในการสื่อสารระหว่างอุปกรณ์ต่างๆ

การวิจัยค้นพบการฝังเฟิร์มแวร์ Horse Shell TP-Link ในเดือนมกราคม พ.ศ. 2566 พวกเขาสังเกตเห็นว่ากิจกรรมของแฮ็กเกอร์ทับซ้อนกับกลุ่มแฮ็กชาวจีนกลุ่มอื่นที่รู้จักกันในชื่อ Mustang Panda แต่พวกเขากำลังติดตามผู้คุกคามภายใต้ชื่อ Camaro Dragon ที่แยกจากกัน

Horse Shell ถูกปรับใช้ผ่านเฟิร์มแวร์ TP-Link ที่ไม่ปลอดภัย

จากการค้นพบของนักวิจัยด้านความปลอดภัยในโลกไซเบอร์ ผู้โจมตีจะแพร่ระบาดในเราเตอร์ TP-Link โดยการนำเสนออิมเมจเฟิร์มแวร์ที่คุกคาม ซึ่งอาจเกิดขึ้นได้จากการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ของเราเตอร์หรือโดยการพยายามเดาข้อมูลประจำตัวของผู้ดูแลระบบด้วยวิธีการเดรัจฉาน

เมื่อผู้ก่อภัยคุกคามได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในอินเทอร์เฟซการจัดการของเราเตอร์ พวกเขาจะมีความสามารถในการอัปเดตอุปกรณ์จากระยะไกลด้วยอิมเมจเฟิร์มแวร์แบบกำหนดเองที่มีมัลแวร์ Horse Shell

มีการค้นพบตัวอย่างอิมเมจเฟิร์มแวร์โทรจันสองตัวอย่างที่ออกแบบมาโดยเฉพาะสำหรับเราเตอร์ TP-Link เวอร์ชันเฟิร์มแวร์ที่เป็นอันตรายเหล่านี้มีการดัดแปลงและเพิ่มเติมไฟล์ต้นฉบับจำนวนมาก

ในการเปรียบเทียบเฟิร์มแวร์ TP-Link ที่ดัดแปลงกับเวอร์ชันที่ถูกต้อง ผู้เชี่ยวชาญพบว่าส่วนเคอร์เนลและส่วน uBoot นั้นเหมือนกัน อย่างไรก็ตาม เฟิร์มแวร์ที่ไม่ปลอดภัยได้รวมเอาระบบไฟล์ SquashFS แบบกำหนดเองซึ่งมีองค์ประกอบไฟล์ที่เสียหายเพิ่มเติมที่เกี่ยวข้องกับการฝังแบ็คดอร์ Horse Shell นอกจากนี้ เฟิร์มแวร์ที่ไม่ปลอดภัยยังเปลี่ยนแผงควบคุมเว็บการจัดการ ช่วยป้องกันเจ้าของอุปกรณ์จากการแฟลชอิมเมจเฟิร์มแวร์ใหม่บนเราเตอร์ได้อย่างมีประสิทธิภาพ รวมทั้งรับประกันการคงอยู่ของการติดไวรัส

ความสามารถที่เป็นอันตรายของเทียมเปลือกม้า

เมื่อเปิดใช้งานการสอดใส่ประตูหลัง Horse Shell จะใช้เทคนิคหลายอย่างเพื่อให้มั่นใจถึงการคงอยู่และการทำงานแบบลับๆ ประการแรก จะสั่งให้ระบบปฏิบัติการไม่ยุติกระบวนการเมื่อออกคำสั่งบางอย่าง เช่น SIGPIPE, SIGIN หรือ SIGABRT นอกจากนี้ยังแปลงตัวเองเป็น daemon ทำให้สามารถทำงานอยู่เบื้องหลังได้อย่างเงียบๆ

ถัดไป ประตูหลังสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ของการดำเนินการ โดยจะส่งโปรไฟล์เครื่องของเหยื่อ ซึ่งรวมถึงข้อมูลต่างๆ เช่น ชื่อผู้ใช้ เวอร์ชันของระบบปฏิบัติการ รายละเอียดอุปกรณ์ ที่อยู่ IP ที่อยู่ MAC และคุณสมบัติที่ฝังไว้

หลังจากเสร็จสิ้นขั้นตอนการตั้งค่า Horse Shell รอคำแนะนำจากเซิร์ฟเวอร์ C2 อย่างอดทน มันรับฟังคำสั่งเฉพาะสามคำสั่ง:

  • เริ่มเชลล์ระยะไกล: คำสั่งนี้อนุญาตให้ผู้คุกคามเข้าถึงอุปกรณ์ที่ถูกบุกรุกได้อย่างสมบูรณ์ ทำให้พวกเขาสามารถดำเนินการคำสั่งและดำเนินกิจกรรมที่ไม่ปลอดภัยได้
  • ทำกิจกรรมการถ่ายโอนไฟล์: แบ็คดอร์ช่วยอำนวยความสะดวกในการอัปโหลดและดาวน์โหลดไฟล์ การจัดการไฟล์ขั้นพื้นฐาน และการแจงนับไดเร็กทอรี ทำให้ผู้คุกคามสามารถจัดการข้อมูลบนอุปกรณ์ที่ถูกบุกรุกได้
  • เริ่มการขุดอุโมงค์: Horse Shell สามารถเริ่มต้นการขุดอุโมงค์เพื่อทำให้ปลายทางและต้นทางของทราฟฟิกเครือข่ายสับสนได้ ด้วยการซ่อนที่อยู่เซิร์ฟเวอร์ C2 เทคนิคนี้ช่วยรักษาการลอบเร้นของการดำเนินการของผู้โจมตี

นักวิจัยทราบว่าการฝังเฟิร์มแวร์ Horse Shell ไม่ได้จำกัดเฉพาะประเภทเฟิร์มแวร์ที่แตกต่างกัน แต่เป็นการไม่เชื่อเรื่องพระเจ้าในเฟิร์มแวร์ ดังนั้น ตามทฤษฎีแล้ว มันอาจจะใช้ในอิมเมจเฟิร์มแวร์สำหรับเราเตอร์จากผู้จำหน่ายหลายราย

การกำหนดเป้าหมายเราเตอร์ที่มีความปลอดภัยต่ำโดยแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐนั้นไม่น่าแปลกใจ เราเตอร์มักตกเป็นเป้าหมายของบอทเน็ตสำหรับกิจกรรมต่างๆ เช่น การโจมตีแบบกระจายการปฏิเสธการให้บริการ (DDoS) หรือการดำเนินการขุดคริปโต การโจมตีเหล่านี้ใช้ประโยชน์จากมาตรการรักษาความปลอดภัยที่มักถูกมองข้ามของเราเตอร์ ทำให้อุปกรณ์ที่ถูกบุกรุกทำหน้าที่เป็น Launchpad ที่ไม่เด่นสำหรับกิจกรรมที่เป็นอันตราย ในขณะที่ปิดบังที่มาของผู้โจมตี

มาแรง

ติดตามคลิกคริสตัล

Browser Hijackers
ในภูมิทัศน์ดิจิทัลอันกว้างใหญ่ แอปพลิเคชั่นที่น่ารำคาญชื่อ Click Crystal ได้เกิดขึ้น สร้างความปั่นป่วนให้กับผู้ใช้อินเทอร์เน็ตด้วยการโจมตีของโฆษณาออนไลน์ในรูปแบบของป๊อปอัป แบนเนอร์...

เข้าชมมากที่สุด

Lookmovie.io ปลอดภัยหรือไม่? สกรีนช็อต

Lookmovie.io ปลอดภัยหรือไม่?

Issue
29,393
Lookmovie.io เป็นเว็บไซต์สตรีมมิ่งวิดีโอ ปัญหาคือมีการนำเสนอเนื้อหาสำหรับการสตรีมอย่างผิดกฎหมาย นอกจากนี้ ไซต์ดังกล่าวยังสร้างรายได้จากเครือข่ายโฆษณาอันธพาลอีกด้วย ด้วยเหตุนี้...

'Geek Squad' อีเมลหลอกลวง

Phishing, Spam
15,882
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรเครดิต ที่อยู่อีเมล และแม้แต่หมายเลขประกันสังคม ในบทความนี้ เราจะพูดถึงตัวการหลอกลวง หน้าตาเป็นอย่างไร อีเมลปลอมมาจากไหน ผู้หลอกลวงต้องการอะไร...
กำลังโหลด...