Giảm giá nhiều giấy phép
Threat Database Malware Phần mềm độc hại Horse Shell

Phần mềm độc hại Horse Shell

Đến năm Mezo năm Malware, Backdoors
Dịch sang:
Tiếng Việt Nam

Một nhóm tin tặc có tên "Camaro Dragon", được cho là do Trung Quốc bảo trợ, đã bị phát hiện lây nhiễm các bộ định tuyến TP-Link dân dụng bằng một phần mềm độc hại tùy chỉnh có tên Horse Shell. Chiến dịch tấn công này được nhắm mục tiêu cụ thể vào các tổ chức đối ngoại châu Âu.

Tin tặc triển khai phần mềm độc hại cửa hậu này thông qua phần sụn đe dọa và tùy chỉnh được thiết kế riêng cho bộ định tuyến TP-Link. Bằng cách đó, họ có thể thực hiện các cuộc tấn công dường như bắt nguồn từ các mạng dân cư.

Kiểu tấn công này nhắm vào các mạng gia đình và dân cư thông thường. Do đó, việc bộ định tuyến gia đình bị lây nhiễm không nhất thiết chỉ ra rằng chính chủ nhà là mục tiêu cụ thể; thay vào đó, các thiết bị của chúng phục vụ để tạo điều kiện thuận lợi cho những kẻ tấn công đạt được mục tiêu của chúng.

Sau khi phần mềm độc hại được triển khai, các tác nhân đe dọa sẽ có toàn quyền truy cập vào thiết bị bị nhiễm. Điều này bao gồm khả năng thực thi các lệnh shell, tải lên và tải xuống các tệp và sử dụng bộ định tuyến làm proxy SOCKS để tạo điều kiện liên lạc giữa các thiết bị.

Nghiên cứu đã phát hiện ra phần mềm cấy ghép Horse Shell TP-Link vào tháng 1 năm 2023. Họ đã quan sát thấy rằng các hoạt động của tin tặc trùng lặp với một nhóm tin tặc Trung Quốc khác có tên là Mustang Panda, nhưng họ đang theo dõi các tác nhân đe dọa dưới tên Camaro Dragon riêng biệt.

Horse Shell được triển khai thông qua Firmware TP-Link không an toàn

Theo phát hiện của các nhà nghiên cứu an ninh mạng, những kẻ tấn công đã lây nhiễm các bộ định tuyến TP-Link bằng cách đưa ra một hình ảnh phần sụn đe dọa. Điều này có thể đạt được bằng cách khai thác các lỗ hổng trong phần mềm của bộ định tuyến hoặc bằng cách cố gắng đoán thông tin đăng nhập của quản trị viên thông qua các phương pháp vũ phu.

Khi tác nhân đe dọa giành được quyền truy cập quản trị vào giao diện quản lý của bộ định tuyến, chúng có khả năng cập nhật thiết bị từ xa bằng hình ảnh chương trình cơ sở tùy chỉnh có chứa phần mềm độc hại Horse Shell.

Cho đến nay, hai mẫu hình ảnh chương trình cơ sở bị trojan hóa được thiết kế riêng cho bộ định tuyến TP-Link đã được phát hiện. Các phiên bản phần sụn có hại này chứa nhiều sửa đổi và bổ sung đối với các tệp gốc.

Khi so sánh phần sụn TP-Link giả mạo với phiên bản hợp pháp, các chuyên gia nhận thấy rằng phần kernel và phần uBoot giống hệt nhau. Tuy nhiên, phần sụn không an toàn đã kết hợp một hệ thống tệp SquashFS tùy chỉnh có chứa các thành phần tệp bị hỏng bổ sung được liên kết với bộ cấy ghép cửa sau Horse Shell. Hơn nữa, phần sụn không an toàn cũng làm thay đổi bảng điều khiển Web quản lý, ngăn chủ sở hữu thiết bị flash hình ảnh phần sụn mới vào bộ định tuyến một cách hiệu quả cũng như đảm bảo sự lây nhiễm kéo dài.

Khả Năng Gây Hại Của Cấy Vỏ Ngựa

Sau khi bộ cấy ghép cửa hậu Horse Shell được kích hoạt, nó sẽ sử dụng một số kỹ thuật để đảm bảo hoạt động bền bỉ và bí mật của nó. Thứ nhất, nó hướng dẫn hệ điều hành không chấm dứt tiến trình của nó khi một số lệnh nhất định, chẳng hạn như SIGPIPE, SIGIN hoặc SIGABRT, được ban hành. Ngoài ra, nó tự chuyển đổi thành một daemon, cho phép nó chạy âm thầm trong nền.

Tiếp theo, cửa hậu thiết lập kết nối với máy chủ Command-and-Control (C2) của hoạt động. Nó sẽ gửi hồ sơ máy của nạn nhân, bao gồm các thông tin như tên người dùng, phiên bản hệ điều hành, chi tiết thiết bị, địa chỉ IP, địa chỉ MAC và các tính năng được hỗ trợ của thiết bị cấy ghép.

Hoàn thành giai đoạn thiết lập, Horse Shell kiên nhẫn chờ hướng dẫn từ máy chủ C2. Nó lắng nghe ba lệnh cụ thể:

  • Khởi động trình bao từ xa: Lệnh này cấp cho các tác nhân đe dọa toàn quyền truy cập vào thiết bị bị xâm nhập, cho phép chúng thực thi các lệnh và thực hiện các hoạt động không an toàn.
  • Thực hiện các hoạt động truyền tệp: Cửa hậu tạo điều kiện thuận lợi cho việc tải lên và tải xuống tệp, thao tác tệp cơ bản và liệt kê thư mục, cho phép các tác nhân đe dọa thao túng dữ liệu trên thiết bị bị xâm nhập.
  • Bắt đầu tạo đường hầm: Horse Shell có thể bắt đầu tạo đường hầm để làm xáo trộn điểm đến và nguồn gốc của lưu lượng mạng. Bằng cách ẩn địa chỉ máy chủ C2, kỹ thuật này giúp duy trì tính bí mật trong hoạt động của những kẻ tấn công.

Các nhà nghiên cứu lưu ý rằng phần mềm cấy ghép Horse Shell không giới hạn ở một loại phần sụn riêng biệt mà không thể biết phần sụn. Do đó, về lý thuyết, nó có khả năng được sử dụng trong ảnh phần sụn cho bộ định tuyến từ nhiều nhà cung cấp khác nhau.

Việc các tin tặc do nhà nước bảo trợ nhắm mục tiêu vào các bộ định tuyến kém bảo mật không có gì đáng ngạc nhiên. Các bộ định tuyến thường là mục tiêu của các mạng botnet cho các hoạt động như tấn công Từ chối dịch vụ (DDoS) phân tán hoặc các hoạt động khai thác tiền điện tử. Các cuộc tấn công này lợi dụng các biện pháp bảo mật thường bị bỏ qua của bộ định tuyến, cho phép các thiết bị bị xâm nhập đóng vai trò là bệ phóng kín đáo cho các hoạt động có hại trong khi che giấu nguồn gốc của kẻ tấn công.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...