Chalubo: RAT, díky kterému bylo za pouhých 72 hodin více než 600,000 XNUMX routerů k ničemu 

Chalubo, trojan pro vzdálený přístup (RAT)

Před pár dny, Společnost Black Lotus Labs oznámila, prostřednictvím nedávné zprávy, podrobnosti o a zranitelnost, která způsobila, že více než 600,000 XNUMX routerů bylo k ničemu pro malé a domácí kanceláře.

A po dobu 72 hodin (mezi 25. a 27. říjnem 2023) bylo více než 600,000 XNUMX routerů deaktivováno trojským koněm pro vzdálený přístup (RAT) známým jako "Chalubo". Tato událost, ke které došlo, měla za následek trvalou nefunkčnost infikovaných zařízení a nutnost jejich fyzické výměny.

O incidentu

Black Lotus Labs ve své publikaci uvádí, že útok byl proveden pomocí malwaru Chalubo, známého od roku 2018, organizuje centralizované řízení botnetu a používá se na zařízeních se systémem Linux založené na 86- a 86bitových architekturách ARM, x64, x32_64, MIPS, MIPSEL a PowerPC.

Chalubo malware zahrnuje tři fáze implementace:

  1. Spuštění skriptu Bash:
    • Při zneužití chyby zabezpečení nebo použití kompromitovaných přihlašovacích údajů se na napadeném zařízení spustí bash skript.
    • Tento skript kontroluje přítomnost škodlivého spustitelného souboru /usr/bin/usb2rci. Pokud soubor není přítomen, skript zakáže filtry paketů pomocí iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
  2. Vyhodnocení skriptu Get_scrpc:
    • Scénář get_scrpc vyhodnotí kontrolní součet MD5 souboru usb2rci.
    • Pokud kontrolní součet neodpovídá předdefinované hodnotě, skript se načte a spustí druhý skript, get_fwuueicj.
  3. Spuštění skriptu get_fwuueicj:
    • Tento skript kontroluje přítomnost souboru /tmp/.adiisu. Pokud chybí, vytvořte jej.
    • Poté načte hlavní spustitelný soubor malwaru, zkompilovaný pro CPU MIPS R3000, do adresáře /tmp se jménem crrs a spustí to.

Naše analýza identifikovala „Chalubo“, trojský kůň pro vzdálený přístup (RAT), jako primární náklad zodpovědný za událost. Tento trojský kůň, který byl poprvé identifikován v roce 2018, používal chytré techniky ke skrytí své činnosti; odstranil všechny soubory z disku, aby se spustil v paměti, převzal náhodný název procesu, který je již na zařízení přítomen, a zašifroval veškerou komunikaci s příkazovým a řídicím (C2) serverem

Týkající se Chalubo chování, sa uvádí, že provádí:

  • Shromažďování a odesílání informací: Spustitelný soubor Chalubo shromažďuje informace o hostiteli, jako je MAC adresa, ID zařízení, verze softwaru a místní IP adresy, a odesílá je na externí server.
  • Stáhněte a spusťte hlavní komponentu: Chalubo zkontroluje dostupnost řídicích serverů a stáhne hlavní součást malwaru, která je dešifrována pomocí streamovací šifry ChaCha20.
  • Spouštění lua skriptů: Základní komponenta může stahovat a spouštět libovolné Lua skripty z řídicího serveru, určující budoucí akce zařízení, jako je účast na útocích DDoS.

Jako takový neexistují žádné konkrétní informace o tom, jak přesně byla zařízení kompromitována za účelem instalace malwaru, a výzkumníci o něm Předpokládají, že přístup k zařízením mohl být získán kvůli nedůvěryhodným přihlašovacím údajům poskytnuté dodavatelem, použití obecného hesla pro vstup do administračního rozhraní nebo zneužití neznámých zranitelností. Protože útočníci s přístupem k řídicím serverům botnetu pravděpodobně využili schopnosti Chaluba spouštět skripty Lua, přepsali firmware zařízení a deaktivovali jej.

Logický proces infekce s odpovídajícími uzly C2

Kromě toho, Black Lotus Labs pojednává o tom, jak měl tento útok významné důsledky, včetně potřeby výměny hardwarového vybavení, zejména ve venkovských a nedostatečně obsluhovaných oblastech, protože analýza sítě po incidentu odhalila, že 179 tisíc zařízení ActionTec (T3200 a T3260) a 480 tisíc zařízení Sagemcom (F5380) bylo nahrazeno zařízením od jiného výrobce.

Tento incident je pozoruhodný nejen rozsahem útoku, ale také proto, že navzdory rozšíření malwaru Chalubo (s více než 330,000 2024 zaznamenanými IP adresami přistupujícími k řídicím serverům na začátku roku XNUMX) byly škodlivé akce omezeny na jediného poskytovatele, což naznačuje, že velmi specifický útok.

konečně jestli jsi zájem se o tom dozvědět více, můžete zkontrolovat podrobnosti v následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.