Chalubo: RAT, kas tikai 72 stundu laikā atstāja bezjēdzīgus vairāk nekā 600,000 XNUMX maršrutētāju 

Chalubo, attālās piekļuves Trojas zirgs (RAT)

Pirms dažām dienām Black Lotus Labs paziņoja, izmantojot neseno ziņojumu, sīkāka informācija par a ievainojamība, kas atstāja bezjēdzīgus vairāk nekā 600,000 XNUMX maršrutētāju maziem un mājas birojiem.

Un tas 72 stundu laikā (no 25. gada 27. līdz 2023. oktobrim) attālās piekļuves Trojas zirgs (RAT) atspējoja vairāk nekā 600,000 XNUMX maršrutētāju. "Čalubo". Šis notikums, kas notika, izraisīja inficēto ierīču pastāvīgu nedarbošanos un nepieciešamību tās fiziski nomainīt.

Par notikušo

Black Lotus Labs savā publikācijā ziņo, ka uzbrukums tika veikts, izmantojot Chalubo ļaunprogrammatūru, kas pazīstama kopš 2018. organizē centralizētu robottīkla vadību un tiek izmantots Linux ierīcēs pamatojoties uz 86 un 86 bitu ARM, x64, x32_64, MIPS, MIPSEL un PowerPC arhitektūrām.

Chalubo ļaunprātīga programmatūra ietver trīs īstenošanas posmus:

  1. Bash skripta palaišana:
    • Ja tiek izmantota ievainojamība vai tiek izmantoti uzlauzti akreditācijas dati, uzlauztajā ierīcē tiek izpildīts bash skripts.
    • Šis skripts pārbauda ļaunprātīga izpildāmā faila klātbūtni /usr/bin/usb2rci. Ja faila nav, skripts atspējo pakešu filtrus ar iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
  2. Get_scrpc skripta novērtējums:
    • Scenārijs get_scrpc novērtē faila MD5 kontrolsummu usb2rci.
    • Ja kontrolsumma neatbilst iepriekš noteiktai vērtībai, skripts tiek ielādēts un tiek palaists otrais skripts, get_fwuueicj.
  3. Notiek skripta get_fwuueicj izpilde:
    • Šis skripts pārbauda faila klātbūtni /tmp/.adiisu. Ja tā nav, izveidojiet to.
    • Pēc tam direktorijā tiek ielādēts galvenais ļaunprātīgas programmatūras izpildāmais fails, kas kompilēts MIPS R3000 centrālajam procesoram. /tmp ar vārdu crrs un sāk to.

Mūsu analīzē tika identificēts “Chalubo”, attālās piekļuves Trojas zirgs (RAT), kā primārā krava, kas ir atbildīga par notikumu. Šis Trojas zirgs, kas pirmo reizi tika identificēts 2018. gadā, izmantoja gudras metodes, lai slēptu savu darbību; izņēma visus failus no diska, lai tie darbotos atmiņā, pieņēma nejaušu procesa nosaukumu, kas jau ir ierīcē, un šifrēja visus sakarus ar komandu un vadības (C2) serveri.

In Cuanto al Chalubo uzvedība, sun piemin, ka tas veic:

  • Informācijas vākšana un nosūtīšana: Chalubo izpildāmā programma apkopo resursdatora informāciju, piemēram, MAC adresi, ierīces ID, programmatūras versiju un vietējās IP adreses, un nosūta to uz ārēju serveri.
  • Lejupielādējiet un palaidiet galveno komponentu: Chalubo pārbauda vadības serveru pieejamību un lejupielādē ļaunprātīgās programmatūras galveno komponentu, kas tiek atšifrēts, izmantojot ChaCha20 straumes šifru.
  • Palaist lua skriptus: galvenais komponents var lejupielādēt un izpildīt patvaļīgus Lua skriptus no vadības servera, nosakot turpmākās ierīces darbības, piemēram, dalību DDoS uzbrukumos.

nav konkrētas informācijas par to, kā tieši ierīces tika apdraudētas, lai instalētu ļaunprātīgu programmatūru, un pētnieki par to Viņi pieņem, ka piekļuvi ierīcēm varēja iegūt neuzticamu akreditācijas datu dēļ ko nodrošina pārdevējs, vispārīgas paroles izmantošana, lai ievadītu administrācijas saskarni, vai nezināmu ievainojamību izmantošana. Tā kā uzbrucēji ar piekļuvi robottīkla vadības serveriem, visticamāk, izmantoja Chalubo spēju izpildīt Lua skriptus, pārrakstot ierīces programmaparatūru un atspējojot to.

Loģisks infekcijas process ar atbilstošiem C2 mezgliem

Bez tam, Black Lotus Labs apspriež, kā šim uzbrukumam bija nozīmīgas sekas, tostarp nepieciešamība nomainīt aparatūras aprīkojumu, īpaši laukos un nepietiekami apkalpotos rajonos, jo tīkla analīze pēc incidenta atklāja, ka 179 tūkstoši ActionTec ierīču (T3200 un T3260) un 480 tūkstoši Sagemcom ierīču (F5380) tika aizstāti ar cita ražotāja aprīkojumu.

Šis incidents ir ievērojams ne tikai ar uzbrukuma apmēru, bet arī tāpēc, ka, neraugoties uz Chalubo ļaunprātīgas programmatūras izplatību (330,000. gada sākumā vairāk nekā 2024 XNUMX reģistrētu IP piekļuva kontroles serveriem), ļaunprātīgas darbības tika veiktas tikai vienam pakalpojumu sniedzējam, kas liecina par ļoti specifisks uzbrukums.

beidzot, ja esi interesē uzzināt vairāk par to, sīkāku informāciju varat pārbaudīt šī saite.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.