Chalubo: ein RAT, der in nur 72 Stunden mehr als 600,000 Router unbrauchbar machte 

Chalubo, ein Fernzugriffstrojaner (RAT)

Vor ein paar Tagen, Black Lotus Labs gab bekannt, Durch einen aktuellen Bericht werden Einzelheiten zu a Sicherheitslücke, die mehr als 600,000 Router nutzlos machte für Klein- und Heimbüros.

Und ist, dass während eines Zeitraums von 72 Stunden (Zwischen dem 25. und 27. Oktober 2023) wurden mehr als 600,000 Router durch einen Remote-Access-Trojaner (RAT) namens deaktiviert «Chalubo». Dieses Ereignis führte dazu, dass die infizierten Geräte dauerhaft nicht mehr funktionsfähig waren und physisch ersetzt werden mussten.

Über den Vorfall

Black Lotus Labs berichtet in seiner Veröffentlichung, dass der Angriff mithilfe der seit 2018 bekannten Chalubo-Malware durchgeführt wurde. organisiert die zentrale Kontrolle des Botnetzes und wird auf Linux-Geräten verwendet basierend auf 86- und 86-Bit-ARM-, x64-, x32_64-, MIPS-, MIPSEL- und PowerPC-Architekturen.

Chalubo-Malware umfasst drei Phasen der Umsetzung:

  1. Starten des Bash-Skripts:
    • Bei Ausnutzung einer Schwachstelle oder Verwendung kompromittierter Anmeldeinformationen wird ein Bash-Skript auf dem kompromittierten Gerät ausgeführt.
    • Dieses Skript prüft, ob die schädliche ausführbare Datei vorhanden ist /usr/bin/usb2rci. Wenn die Datei nicht vorhanden ist, deaktiviert das Skript Paketfilter mit iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
  2. Get_scrpc-Skriptauswertung:
    • Das Skript get_scrpc wertet die MD5-Prüfsumme der Datei aus usb2rci.
    • Wenn die Prüfsumme nicht mit einem vordefinierten Wert übereinstimmt, lädt das Skript ein zweites Skript und führt es aus. get_fwuueicj.
  3. Ausführen des get_fwuueicj-Skripts:
    • Dieses Skript prüft, ob die Datei vorhanden ist /tmp/.adiisu. Wenn es nicht vorhanden ist, erstellen Sie es.
    • Anschließend lädt es die ausführbare Hauptdatei der Malware, die für die MIPS R3000-CPU kompiliert wurde, in das Verzeichnis /tmp mit dem Namen crrs und startet es.

Unsere Analyse identifizierte „Chalubo“, einen Remote Access Trojaner (RAT), als Hauptnutzlast, der für das Ereignis verantwortlich war. Dieser erstmals im Jahr 2018 entdeckte Trojaner nutzte clevere Techniken, um seine Aktivitäten zu verbergen; Alle Dateien wurden von der Festplatte entfernt, um sie im Speicher auszuführen, ein zufälliger Prozessname wurde angenommen, der bereits auf dem Gerät vorhanden war, und die gesamte Kommunikation mit dem Befehls- und Kontrollserver (C2) wurde verschlüsselt

Um Chalubo-Verhalten, sund erwähnt, dass es Folgendes ausführt:

  • Sammlung und Versand von Informationen: Die ausführbare Chalubo-Datei sammelt Hostinformationen wie MAC-Adresse, Geräte-ID, Softwareversion und lokale IP-Adressen und sendet sie an einen externen Server.
  • Laden Sie die Hauptkomponente herunter und führen Sie sie aus: Chalubo prüft die Verfügbarkeit der Kontrollserver und lädt die Haupt-Malware-Komponente herunter, die mithilfe der ChaCha20-Stream-Verschlüsselung entschlüsselt wird.
  • Lua-Skripte ausführen: Die Kernkomponente kann beliebige Lua-Skripte vom Steuerungsserver herunterladen und ausführen und so zukünftige Aktionen des Geräts bestimmen, beispielsweise die Teilnahme an DDoS-Angriffen.

So wie es gibt keine konkreten Informationen darüber, wie genau die Geräte kompromittiert wurden, um die Malware zu installieren, und die Forscher darüber Sie gehen davon aus, dass der Zugriff auf die Geräte aufgrund nicht vertrauenswürdiger Zugangsdaten erfolgen könnte vom Anbieter bereitgestellte Angriffe, die Verwendung eines generischen Passworts für den Zugriff auf die Administrationsoberfläche oder die Ausnutzung unbekannter Schwachstellen. Da Angreifer mit Zugriff auf die Kontrollserver des Botnetzes wahrscheinlich Chalubos Fähigkeit, Lua-Skripte auszuführen, ausnutzten, überschrieben sie die Firmware des Geräts und deaktivierten es.

Logischer Infektionsprozess mit entsprechenden C2-Knoten

Außerdem, Black Lotus Labs erläutert, welche erheblichen Folgen dieser Angriff hatte, einschließlich der Notwendigkeit, Hardware-Geräte zu ersetzen, insbesondere in ländlichen und unterversorgten Gebieten, da eine Netzwerkanalyse nach dem Vorfall ergab, dass 179 ActionTec-Geräte (T3200 und T3260) und 480 Sagemcom-Geräte (F5380) durch Geräte eines anderen Herstellers ersetzt wurden.

Dieser Vorfall ist nicht nur wegen des Ausmaßes des Angriffs bemerkenswert, sondern auch, weil trotz der Verbreitung der Chalubo-Malware (mit über 330,000 aufgezeichneten IPs, die Anfang 2024 auf Kontrollserver zugegriffen haben) böswillige Aktionen auf einen einzigen Anbieter beschränkt waren, was darauf hindeutet, dass a sehr spezifischer Angriff.

schließlich, wenn Sie sind daran interessiert, mehr darüber zu erfahren, Sie können die Details in der überprüfen folgenden Link


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.