Pár napja, A Black Lotus Labs bejelentette, egy közelmúltbeli jelentés révén részleteket a sérülékenység, amely több mint 600,000 XNUMX útválasztót hagyott használhatatlanná kis és otthoni irodák számára.
És ez az 72 órás időszak alatt (25. október 27. és 2023. között) több mint 600,000 XNUMX útválasztót tiltott le egy távoli hozzáférésű trójai (RAT) "Chalubo". Ez a megtörtént esemény a fertőzött eszközök tartós működésképtelenségét és fizikai cseréjének szükségességét eredményezte.
Az esetről
A Black Lotus Labs közleményében arról számol be, hogy a támadást a 2018 óta ismert Chalubo malware segítségével hajtották végre. megszervezi a botnet központosított vezérlését, és Linux-eszközökön használják 86 és 86 bites ARM, x64, x32_64, MIPS, MIPSEL és PowerPC architektúrákon alapul.
Chalubo malware a megvalósítás három szakaszát foglalja magában:
- A Bash Script indítása:
- Sebezhetőség kihasználása vagy feltört hitelesítő adatok használata esetén a bash szkript fut le a feltört eszközön.
- Ez a szkript ellenőrzi a rosszindulatú végrehajtható fájl jelenlétét
/usr/bin/usb2rci
. Ha a fájl nincs jelen, a szkript letiltja a csomagszűrőketiptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;
.
- Get_scrpc Script Evaluation:
- A script
get_scrpc
kiértékeli a fájl MD5 ellenőrző összegétusb2rci
. - Ha az ellenőrző összeg nem egyezik egy előre meghatározott értékkel, a szkript betöltődik, és egy második szkriptet futtat,
get_fwuueicj
.
- A script
- A get_fwuueicj parancsfájl végrehajtása:
- Ez a szkript ellenőrzi a fájl jelenlétét
/tmp/.adiisu
. Ha hiányzik, hozza létre. - Ezután betölti a fő rosszindulatú program futtatható fájlját, amelyet a MIPS R3000 CPU-hoz fordítottak, a könyvtárba.
/tmp
a névvelcrrs
és elindítja.
- Ez a szkript ellenőrzi a fájl jelenlétét
Elemzésünk szerint a Chalubo, egy távelérési trójai (RAT) az eseményért felelős elsődleges rakomány. Ez a trójai, amelyet először 2018-ban azonosítottak, ügyes technikákat alkalmazott tevékenységének eltitkolására; eltávolította az összes fájlt a lemezről, hogy a memóriában fusson, feltételezett egy véletlenszerű folyamatnevet, amely már megtalálható az eszközön, és titkosított minden kommunikációt a parancs- és vezérlőkiszolgálóval (C2)
Tekintettel Chalubo viselkedés, sés megemlíti, hogy a következőket hajtja végre:
- Információgyűjtés és -küldés: A Chalubo végrehajtható állomány információkat gyűjt, például MAC-címet, eszközazonosítót, szoftververziót és helyi IP-címeket, és elküldi egy külső szervernek.
- Töltse le és futtassa a fő összetevőt: A Chalubo ellenőrzi a vezérlőszerverek elérhetőségét, és letölti a fő rosszindulatú komponenst, amelyet a ChaCha20 adatfolyam titkosítással dekódolnak.
- Lua szkriptek futtatása: Az alapkomponens tetszőleges Lua-szkripteket tud letölteni és végrehajtani a vezérlőkiszolgálóról, meghatározva az eszköz jövőbeli műveleteit, például a DDoS-támadásokban való részvételt.
Mint olyan nincs konkrét információ arról, hogy pontosan hogyan férkőztek az eszközök a kártevő telepítéséhez, és az ezzel kapcsolatos kutatók Feltételezik, hogy az eszközökhöz nem megbízható hitelesítési adatok miatt lehetett hozzáférni a szállító által biztosított, általános jelszó használata az adminisztrációs felületre, vagy ismeretlen biztonsági rések kihasználása. Mivel a botnet vezérlőkiszolgálóihoz hozzáféréssel rendelkező támadók valószínűleg kihasználták a Chalubo Lua-szkriptek futtatásának képességét, felülírták és letiltották az eszköz firmware-jét.
Amellett, hogy, A Black Lotus Labs megvitatja, hogy ennek a támadásnak milyen jelentős következményei voltak, beleértve a hardverek cseréjének szükségességét is, különösen a vidéki és a kiszolgáltatott területeken, mivel az eset utáni hálózatelemzés során kiderült, hogy 179 ezer ActionTec eszközt (T3200 és T3260) és 480 ezer Sagemcom eszközt (F5380) cseréltek le más gyártó berendezéseire.
Ez az incidens nemcsak a támadás nagyságrendje miatt figyelemre méltó, hanem azért is, mert a Chalubo malware elterjedtsége ellenére (330,000 elején több mint 2024 XNUMX rögzített IP-cím fér hozzá a vezérlőszerverekhez), a rosszindulatú tevékenységek egyetlen szolgáltatóra korlátozódtak, ami arra utal, hogy nagyon konkrét támadás.
végre, ha az vagy szeretne többet megtudni róla, a részleteket a következő link.