Questa misteriosa campagna cinese utilizza firmware del router infetto da trojan

Jun 09, 2023

I ricercatori di sicurezza di Check Point affermano di aver riscontrato un nuovo ed esclusivo firmware dannoso per router denominato "Horse Shell" che ritengono sia stato implementato da un gruppo di minacce cinese per scopi sconosciuti.

L'impianto Horse Shell è progettato su misura per abusare del firmware del router domestico TP-Link, scritto in C++ e compilato per sistemi operativi basati su MIPS32 (utilizzato principalmente in apparecchiature di rete come modem, router, switch ecc.)

Fornisce tre funzionalità principali.

In modo piuttosto insolito, ogni comunicazione dell'impianto viene crittografata utilizzando uno schema di crittografia personalizzato o modificato basato sulla rete di sostituzione-permutazione; se stanno costruendo una botnet, è leggermente strana.

I ricerca paesi" e potrebbe non essere del tutto correlato a quella campagna, sebbene Horse Shell sia stato trovato nell'infrastruttura d'attacco dello stesso gruppo.

La prima cosa che hanno trovato è stato un semplice binario di shell protetto da password che si collegherà a tutte le interfacce di rete IPv4 sulla porta 14444 e notano ironicamente che "la password può essere rivelata con lo strumento altamente avanzato ed estremamente unico chiamato stringhe. Se ne hai bisogno password, è sufficiente eseguire il seguente comando:

$ stringhe shell [..] password: J2)3#4G@Iie successo! /bin/sh [..]

👆 Beh, è ​​comodo...

Check Point afferma che "l'obiettivo degli aggressori sembra essere la creazione di una catena di nodi tra le principali infezioni e il comando e controllo reale e, in tal caso, probabilmente installerebbero l'impianto su dispositivi arbitrari senza particolare interesse" - con il malware che ha "integrato in modo intelligente più librerie open source nel suo codice. La sua shell remota è basata su Telnet, gli eventi sono gestiti da libev, contiene libbase32, anche ikcp, e i suoi contenitori di elenchi sono basati sull'implementazione smartlist di TOR" per potenziare le sue capacità.

Gli aggressori hanno modificato due file esistenti e ne hanno aggiunti quattro nuovi al firmware del router (il design effettivo del malware è indipendente dal firmware e potrebbe/potrebbe essere integrato nel firmware di diversi fornitori). Chiama regolarmente la sua rete C2 con una serie di informazioni su ciascun endpoint, incluso ciò che Check Point ha affermato essere:

"La funzionalità di Horse Shell non è innovativa, ma certamente non è nemmeno ordinaria", ha affermato Check Point

"Tuttavia, la sua dipendenza da libev per creare un programma complesso basato sugli eventi, e la sua propensione per strutture complesse e contenitori di elenchi, rendono il nostro lavoro di analisi ancora più impegnativo. Ma non utilizziamo mezzi termini: la qualità del codice è impressionante, e la capacità dell'impianto di gestire molteplici compiti attraverso una gamma di moduli e strutture dimostra il tipo di abilità avanzate che ci fanno alzare e prendere atto..."

L'attività che Check Point ha affermato di aver analizzato presenta "significative sovrapposizioni con le attività divulgate pubblicamente da Avast ed Eset, collegandola al gruppo APT affiliato alla Cina 'Mustang Panda' e, nonostante la sofisticatezza degli sviluppatori, hanno anche scoperto che, probabilmente goffamente da un attore di minacce sostenuto dallo stato: un indirizzo IP (91.245.253[.]72) a cui si risolve il C&C di Horse Shell è elencato nel rapporto di Avast sull'analisi della campagna Mustang Panda.

Peculiare.

Vedi il dettaglio completo qui.