Mga Multi-Lisensya na Diskwento
Threat Database Malware Horse Shell Malware

Horse Shell Malware

Sa pamamagitan ng Mezo sa Malware, Backdoors
Isalin To:
Wikang Filipino

Ang isang grupo ng pag-hack na kilala bilang "Camaro Dragon," na pinaniniwalaan na itinataguyod ng estado ng China, ay natagpuang nakakahawa sa mga residential TP-Link router na may custom na malware na tinatawag na Horse Shell. Ang kampanyang ito sa pag-atake ay partikular na naka-target sa mga organisasyon ng European foreign affairs.

Inilalagay ng mga hacker ang backdoor na malware na ito sa pamamagitan ng customized at nagbabantang firmware na iniayon para sa mga TP-Link router. Sa pamamagitan ng paggawa nito, maaari silang magsagawa ng mga pag-atake na mukhang nagmula sa mga residential network.

Ang ganitong uri ng pag-atake ay nagta-target ng mga regular na residential at home network. Samakatuwid, ang impeksyon ng isang home router ay hindi kinakailangang ipahiwatig na ang mga may-ari ng bahay mismo ay isang tiyak na target; sa halip, nagsisilbi ang kanilang mga device upang mapadali ang paraan para makamit ng mga umaatake ang kanilang mga layunin.

Kapag na-deploy na ang malware, ang mga banta ng aktor ay magkakaroon ng kumpletong access sa nahawaang device. Kabilang dito ang kakayahang magsagawa ng mga shell command, mag-upload at mag-download ng mga file, at gamitin ang router bilang isang SOCKS proxy upang mapadali ang komunikasyon sa pagitan ng mga device.

Natuklasan ng pananaliksik ang Horse Shell TP-Link firmware implant noong Enero 2023. Naobserbahan nila na ang mga aktibidad ng mga hacker ay nag-o-overlap sa isa pang Chinese hacking group na kilala bilang Mustang Panda, ngunit sinusubaybayan nila ang mga banta sa ilalim ng hiwalay na pangalan ng Camaro Dragon.

Ang Horse Shell ay Na-deploy sa pamamagitan ng Hindi Ligtas na TP-Link Firmware

Ayon sa mga natuklasan ng mga mananaliksik sa cybersecurity, nahawahan ng mga umaatake ang mga TP-Link router sa pamamagitan ng pagpapakilala ng isang nagbabantang imahe ng firmware. Maaaring ito ay nakamit sa pamamagitan ng pagsasamantala sa mga kahinaan sa software ng router o sa pamamagitan ng pagtatangkang hulaan ang mga kredensyal ng administrator sa pamamagitan ng mga pamamaraan ng brute-force.

Kapag nakakuha na ang aktor ng banta ng administratibong access sa interface ng pamamahala ng router, mayroon silang kakayahan na malayuang i-update ang device gamit ang custom na imahe ng firmware na naglalaman ng Horse Shell malware.

Dalawang sample ng mga trojanized firmware na imahe na partikular na idinisenyo para sa mga TP-Link router ay natuklasan sa ngayon. Ang mga nakakapinsalang bersyon ng firmware na ito ay naglalaman ng malawak na pagbabago at pagdaragdag sa mga orihinal na file.

Sa paghahambing ng na-tamper na firmware ng TP-Link sa isang lehitimong bersyon, natuklasan ng mga eksperto na ang mga seksyon ng kernel at uBoot ay magkapareho. Gayunpaman, ang hindi ligtas na firmware ay nagsama ng custom na SquashFS filesystem na naglalaman ng mga karagdagang sirang bahagi ng file na nauugnay sa Horse Shell backdoor implant. Higit pa rito, binabago din ng hindi ligtas na firmware ang panel ng pamamahala sa Web, na epektibong pumipigil sa may-ari ng device na mag-flash ng bagong imahe ng firmware papunta sa router pati na rin ang pagtiyak sa pagtitiyaga ng impeksiyon.

Ang Masasamang Kakayahan ng Horse Shell Implant

Kapag na-activate na ang Horse Shell backdoor implant, gumagamit ito ng ilang mga diskarte upang matiyak ang pagtitiyaga at lihim na operasyon nito. Una, inaatasan nito ang operating system na huwag wakasan ang proseso nito kapag ang ilang mga utos, tulad ng SIGPIPE, SIGIN o SIGABRT, ay inilabas. Bukod pa rito, ginagawa nitong isang daemon ang sarili nito, na nagbibigay-daan dito na tumakbo nang tahimik sa background.

Susunod, ang backdoor ay nagtatatag ng koneksyon sa Command-and-Control (C2) server ng operasyon. Ipinapadala nito ang profile ng makina ng biktima, na kinabibilangan ng impormasyon gaya ng user name, bersyon ng operating system, mga detalye ng device, IP address, MAC address at mga sinusuportahang feature ng implant.

Matapos makumpleto ang yugto ng pag-setup, matiyagang naghihintay ang Horse Shell ng mga tagubilin mula sa server ng C2. Nakikinig ito ng tatlong partikular na utos:

  • Magsimula ng remote shell: Ang command na ito ay nagbibigay sa mga banta ng aktor ng kumpletong access sa nakompromisong device, na nagbibigay-daan sa kanila na magsagawa ng mga command at magsagawa ng mga hindi ligtas na aktibidad.
  • Magsagawa ng mga aktibidad sa paglilipat ng file: Pinapadali ng backdoor ang pag-upload at pag-download ng mga file, pangunahing pagmamanipula ng file, at pag-enumeration ng direktoryo, na nagpapahintulot sa mga banta ng aktor na manipulahin ang data sa nakompromisong device.
  • Simulan ang pag-tunnel: Maaaring simulan ng Horse Shell ang pag-tunnel para i-obfuscate ang destinasyon at pinagmulan ng trapiko sa network. Sa pamamagitan ng pagtatago ng C2 server address, nakakatulong ang diskarteng ito na mapanatili ang pagiging stealthiness ng mga operasyon ng mga umaatake.

Pansinin ng mga mananaliksik na ang Horse Shell firmware implant ay hindi limitado sa isang natatanging uri ng firmware ngunit ito ay firmware-agnostic. Samakatuwid, sa teorya, maaari itong magamit sa mga imahe ng firmware para sa mga router mula sa iba't ibang mga vendor.

Hindi nakakagulat ang pag-target ng mga hindi mahusay na secure na router ng mga hacker na inisponsor ng estado. Kadalasang tina-target ng mga botnet ang mga router para sa mga aktibidad tulad ng mga distributed Denial-of-Service (DDoS) na pag-atake o crypto-mining operations. Sinasamantala ng mga pag-atakeng ito ang mga hakbang sa seguridad na madalas na hindi napapansin ng mga router, na nagpapahintulot sa mga nakompromisong device na magsilbi bilang mga hindi mahahalata na launchpad para sa mga mapaminsalang aktibidad habang tinatakpan ang pinagmulan ng umaatake.

Trending

Pinaka Nanood

Naglo-load...