Chalubo: žiurkė, kuri vos per 72 valandas paliko daugiau nei 600,000 XNUMX maršrutizatorių nenaudingais 

Chalubo, nuotolinės prieigos Trojos arklys (RAT)

Prieš kelias dienas, „Black Lotus Labs“ paskelbė, per naujausią ataskaitą, išsamią informaciją apie a pažeidžiamumas, dėl kurio daugiau nei 600,000 XNUMX maršrutizatorių liko nenaudingi mažiems ir namų biurams.

Ir tai per 72 valandų laikotarpį (25 m. spalio 27–2023 d.) daugiau nei 600,000 XNUMX maršruto parinktuvų buvo išjungta dėl nuotolinės prieigos Trojos arklys (RAT), žinomo kaip „Chalubo“. Dėl šio įvykio užkrėsti įrenginiai visam laikui neveikė ir prireikė juos fiziškai pakeisti.

Apie įvykį

„Black Lotus Labs“ savo publikacijoje praneša, kad ataka buvo įvykdyta naudojant Chalubo kenkėjišką programą, žinomą nuo 2018 m. organizuoja centralizuotą botneto valdymą ir yra naudojamas Linux įrenginiuose pagrįsta 86 ir 86 bitų ARM, x64, x32_64, MIPS, MIPSEL ir PowerPC architektūromis.

Chalubo kenkėjiška programa apima tris įgyvendinimo etapus:

  1. Bash scenarijaus paleidimas:
    • Išnaudojant pažeidžiamumą arba naudojant pažeistus kredencialus, pažeistame įrenginyje vykdomas bash scenarijus.
    • Šis scenarijus tikrina, ar nėra kenkėjiško vykdomojo failo /usr/bin/usb2rci. Jei failo nėra, scenarijus išjungia paketų filtrus su iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
  2. Get_scrpc scenarijaus įvertinimas:
    • Scenarijus get_scrpc įvertina failo MD5 kontrolinę sumą usb2rci.
    • Jei kontrolinė suma neatitinka iš anksto nustatytos vertės, scenarijus įkeliamas ir paleidžiamas antrasis scenarijus, get_fwuueicj.
  3. Vykdomas get_fwuueicj scenarijus:
    • Šis scenarijus tikrina, ar nėra failo /tmp/.adiisu. Jei jo nėra, sukurkite jį.
    • Tada į katalogą įkeliamas pagrindinis kenkėjiškų programų vykdomasis failas, sudarytas MIPS R3000 CPU. /tmp su vardu crrs ir jį pradeda.

Mūsų analizė nustatė, kad „Chalubo“, nuotolinės prieigos Trojos arklys (RAT), yra pagrindinis už įvykį atsakingas krovinys. Šis Trojos arklys, pirmą kartą identifikuotas 2018 m., naudojo protingus būdus, kad nuslėptų savo veiklą; pašalino visus failus iš disko, kad būtų paleistas atmintyje, prisiėmė atsitiktinį proceso pavadinimą, jau esantį įrenginyje, ir užšifravo visus ryšius su komandų ir valdymo (C2) serveriu

Dėl Chalubo elgesys, sir mini, kad ji atlieka:

  • Informacijos rinkimas ir siuntimas: Chalubo vykdomasis failas renka pagrindinio kompiuterio informaciją, pvz., MAC adresą, įrenginio ID, programinės įrangos versiją ir vietinius IP adresus, ir siunčia ją į išorinį serverį.
  • Atsisiųskite ir paleiskite pagrindinį komponentą: Chalubo patikrina valdymo serverių prieinamumą ir atsisiunčia pagrindinį kenkėjiškos programos komponentą, kuris iššifruojamas naudojant ChaCha20 srauto šifrą.
  • Vykdo lua scenarijus: pagrindinis komponentas gali atsisiųsti ir vykdyti savavališkus Lua scenarijus iš valdymo serverio, nustatydamas būsimus įrenginio veiksmus, pvz., dalyvavimą DDoS atakose.

Kaip toks konkrečios informacijos nėra apie tai, kaip tiksliai įrenginiai buvo pažeisti norint įdiegti kenkėjišką programą, ir apie tai tyrėjus Jie mano, kad prieiga prie įrenginių galėjo būti gauta dėl nepatikimų kredencialų tiekėjo pateiktą, bendro slaptažodžio naudojimas norint patekti į administravimo sąsają arba nežinomų pažeidžiamumų išnaudojimas. Kadangi užpuolikai, turintys prieigą prie botneto valdymo serverių, greičiausiai pasinaudojo Chalubo galimybe vykdyti Lua scenarijus, perrašydami įrenginio programinę-aparatinę įrangą ir ją išjungdami.

Loginis infekcijos procesas su atitinkamais C2 mazgais

Neskaitant to, „Black Lotus Labs“ aptaria, kaip ši ataka turėjo reikšmingų pasekmių, įskaitant poreikį pakeisti techninę įrangą, ypač kaimo ir nepakankamai aptarnaujamose vietovėse, nes tinklo analizė po incidento atskleidė, kad 179 tūkstančiai „ActionTec“ įrenginių (T3200 ir T3260) ir 480 tūkstančių „Sagemcom“ įrenginių (F5380) buvo pakeisti kito gamintojo įranga.

Šis incidentas išsiskiria ne tik atakos mastu, bet ir tuo, kad, nepaisant Chalubo kenkėjiškų programų paplitimo (330,000 m. pradžioje daugiau nei 2024 XNUMX įrašytų IP prisijungė prie valdymo serverių), kenkėjiški veiksmai apsiribojo vienu teikėju, o tai rodo, kad labai specifinė ataka.

pagaliau jei esi nori sužinoti daugiau apie tai, išsamią informaciją galite patikrinti sekanti nuoroda.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.