"Camaro Dragon" adlı Çin devlet destekli bir hack grubu, Avrupa dış ilişkileri örgütlerine saldırmak için kullanılan özel bir "at kabuğu" kötü amaçlı yazılımlarla konut TP-link yönlendiricilerini enfekte ediyor.
Arka kapı kötü amaçlı yazılımları, TP-Link yönlendiricileri için özel olarak tasarlanmış özel ve kötü amaçlı bir ürün yazılımına dağıtılır, böylece bilgisayar korsanları konut ağlarından kaynaklanan saldırılar başlatabilir.
"Bu tür bir saldırının özellikle hassas ağlara değil, düzenli konut ve ev ağlarına yönelik olduğunu belirtmek gerekir."
"Bu nedenle, bir ev yönlendiricisine enfekte etmek mutlaka ev sahibinin belirli bir hedef olduğu anlamına gelmez, aksine cihazlarının sadece saldırganlar için bir amaç için bir araç olduğu anlamına gelir."
Dağıtım kötü amaçlı yazılım, tehdit aktörlerinin kabuk komutlarını çalıştırmak, dosyaları yükleme ve indirme ve cihazlar arasındaki iletişimi aktarmak için çorap proxy olarak kullanma gibi cihaza tam erişim sağlar.
Horse Shell TP-Link ürün yazılımı implantı Ocak 2023'te Check Point Research tarafından keşfedildi ve bilgisayar korsanlarının etkinliğinin yakın zamanda Avast ve ESET raporlarında ayrıntılı olarak ayrıntılı olarak açıklanan Çin "Mustang Panda" hackleme grubuyla örtüştüğünü söylüyor.
Check Point, Mustang Panda ile benzerliklere ve önemli örtüşmeye rağmen etkinlik kümesi için "Camaro Dragon" adını kullanarak bu etkinliği ayrı ayrı izler.
Atıf, saldırganların sunucusu IP adreslerine, çeşitli Çin web sitelerinde bulunan sert kodlu HTTP başlıklarına sahip istekler, yazarın anadili bir İngilizce konuşmacı olmadığını gösteren birçok yazım hatası ve Truva atının işlevsel benzerliklerine dayanarak yapıldı. APT31 "Pakdoor" yönlendirici implantı.
Check Point, saldırganların TP-Link yönlendiricilerini kötü amaçlı ürün yazılımı görüntüsüne nasıl bulaştıklarını belirlemese de, bunun bir güvenlik açığından yararlanarak veya yöneticinin kimlik bilgilerini zorlayarak olabileceğini söylediler.
Bir tehdit oyuncusu yönetim arayüzüne yönetici erişimi kazandığında, cihazı özel ürün yazılımı görüntüsü ile uzaktan güncelleyebilirler.
Araştırma yoluyla Check Point, hem kapsamlı değişiklikler hem de dosya eklemeleri içeren TP-Link yönlendiricileri için iki truva yazılım görüntüsü örneği buldu.
Kontrol noktası kötü amaçlı TP-Link ürün yazılımını meşru bir sürümle karşılaştırdı ve çekirdek ve uboot bölümlerinin aynı olduğunu buldu. Bununla birlikte, kötü amaçlı ürün yazılımı, at kabuğu arka kapı kötü amaçlı yazılım implantının bir parçası olan ek kötü amaçlı dosya bileşenleri içeren özel bir SquashFS dosya sistemi kullanılmıştır.
"İmplantını bir bütün olarak adlandırmak için kullanıyoruz. İmplant, saldırgana 3 ana işlev sunuyor: uzaktan kabuk, dosya aktarımı ve tünelleme" diye açıklıyor.
Ürün yazılımı ayrıca yönetim web panelini değiştirerek cihazın sahibinin yönlendirici için yeni bir ürün yazılımı görüntüsünü yanıp sönmesini ve enfeksiyonun kalıcılığını sağlamasını önler.
At kabuğu arka kapı implantı başlatıldığında, Sigpipe, Sigint veya Sigabrt komutları verildiğinde işletim sistemine sürecini sonlandırmamasını ve arka planda çalışacak bir arka planon'a dönüştürülmesini bildirecektir.
Arka kapı daha sonra, kullanıcı adı, işletim sistemi sürümü, zaman, cihaz bilgileri, IP adresi, MAC adresi ve desteklenen implant özellikleri dahil olmak üzere kurbanın makine profilini göndermek için Komut ve Kontrol (C2) sunucusuna bağlanır.
Horse Shell artık aşağıdaki üç komuttan birini bekleyen arka planda sessizce koşacak:
Araştırmacılar, Horse Shell ürün yazılımı implantının ürün yazılımı-agnostik olduğunu, bu nedenle teorik olarak farklı satıcılar tarafından diğer yönlendiriciler için ürün yazılımı görüntülerinde çalışabileceğini söylüyor.
Devlet destekli bilgisayar korsanlarının, genellikle DDOS saldırıları veya kripto madencilik işlemleri için botnetler tarafından hedeflenen kötü güvenli yönlendiricileri hedeflediğini görmek şaşırtıcı değildir. Bunun nedeni, yönlendiricilerin güvenlik önlemleri uygulanırken genellikle göz ardı edilmesi ve saldırıların kökenini gizleyerek saldırılar için gizli bir fırlatma rampası olarak hareket edebilmesidir.
Kullanıcılara, mevcut güvenlik açıklarını eklemek ve varsayılan yönetici şifresini güçlü bir şeye dönüştürmek için yönlendirici modelleri için en son ürün yazılımı güncellemesini uygulamaları önerilir. Ancak, daha da kritik, cihazın yönetici paneline uzaktan erişimi devre dışı bırakın ve yalnızca yerel ağdan erişilebilir hale getirin.
Edge Network cihazları, devlet destekli tehdit aktörleri için popüler bir hedef haline geldi ve Çinli hackerlar daha önce Fortinet VPN ve Sonicwall SMA yönlendiricilerini özel ürün yazılımı implantlarına sahip hedefliyor.
Daha yakın zamanlarda, İngiltere NCSC ve ABD CISA siber güvenlik ajansları, Rus devlet destekli tehdit aktörlerinin de Cisco yönlendiricilerini özel kötü amaçlı yazılım yüklemek için ihlal ettikleri konusunda uyardı.
Bu cihazlar EDR (uç nokta algılama ve yanıt) güvenlik çözümlerini yaygın olarak desteklemediğinden, tehdit aktörleri bunları veri çalmak, yanal olarak yaymak ve daha az tespit için daha fazla saldırı gerçekleştirebilir.
Mantiant CTO Charles Carmakal, BleepingComputer'a verdiği demeçte, "Ağ cihazları, IoT cihazları vb. EDR çözümlerini desteklemeyen ağ cihazlarına, IoT cihazlarına vb. Sürekli sürekli bir tema var." Dedi.
Bu nedenle, ağ yöneticilerinin, kullanılabilir hale geldiği anda mevcut tüm güvenlik yamalarını, yönetim konsollarını halka açık bir şekilde ortaya çıkarmaz yüklemeleri hayati önem taşır.
Beş yıllık saldırılardan sonra ortaya çıkan gizli merdoor kötü amaçlı yazılım
'Acı' Casusluk Bilgisayar korsanları Çin nükleer enerji kuruluşlarını hedefleyin
Linux Bpfdoor kötü amaçlı yazılımın daha kapsamlı versiyonu,
Bilgisayar korsanları, tespitten kaçınmak için çift dll sideloading kullanmaya başlar
ESET, Tencent QQ kullanıcıları gizemli kötü amaçlı yazılım saldırısına hacklendi diyor
Kaynak: Bleeping Computer