Rabatte für mehrere Lizenzen
Threat Database Malware Horse Shell-Malware

Horse Shell-Malware

Von Mezo in Malware, Backdoors
Übersetzen Sie in:
Deutsch

Es wurde festgestellt, dass eine Hackergruppe namens „Camaro Dragon“, die vermutlich von China staatlich gefördert wird, private TP-Link-Router mit einer benutzerdefinierten Malware namens Horse Shell infiziert. Diese Angriffskampagne richtet sich speziell gegen europäische Außenpolitikorganisationen.

Die Hacker verbreiten diese Backdoor-Malware über angepasste und bedrohliche Firmware, die speziell auf TP-Link-Router zugeschnitten ist. Auf diese Weise können sie Angriffe ausführen, die scheinbar von privaten Netzwerken ausgehen.

Diese Art von Angriff zielt auf normale Wohn- und Heimnetzwerke ab. Daher bedeutet die Infektion eines Heimrouters nicht unbedingt, dass die Hausbesitzer selbst ein spezifisches Ziel waren; Vielmehr dienen ihre Geräte dazu, den Angreifern den Weg zum Erreichen ihrer Ziele zu erleichtern.

Sobald die Malware eingesetzt wird, erhalten die Bedrohungsakteure vollständigen Zugriff auf das infizierte Gerät. Dazu gehört die Möglichkeit, Shell-Befehle auszuführen, Dateien hoch- und herunterzuladen und den Router als SOCKS-Proxy zu nutzen, um die Kommunikation zwischen Geräten zu erleichtern.

Die Forschung entdeckte das Horse Shell TP-Link-Firmware-Implantat im Januar 2023. Sie haben beobachtet, dass sich die Aktivitäten der Hacker mit denen einer anderen chinesischen Hackergruppe namens Mustang Panda überschneiden, sie verfolgen die Bedrohungsakteure jedoch unter dem separaten Namen Camaro Dragon.

Horse Shell wird über unsichere TP-Link-Firmware bereitgestellt

Den Erkenntnissen der Cybersicherheitsforscher zufolge infizieren die Angreifer TP-Link-Router, indem sie ein bedrohliches Firmware-Image einschleusen. Dies wurde möglicherweise dadurch erreicht, dass Schwachstellen in der Software des Routers ausgenutzt wurden oder indem versucht wurde, die Anmeldeinformationen des Administrators mithilfe von Brute-Force-Methoden zu erraten.

Sobald der Bedrohungsakteur administrativen Zugriff auf die Verwaltungsschnittstelle des Routers erhält, hat er die Möglichkeit, das Gerät aus der Ferne mit dem benutzerdefinierten Firmware-Image zu aktualisieren, das die Horse Shell-Malware enthält.

Bisher wurden zwei Beispiele trojanisierter Firmware-Images entdeckt, die speziell für TP-Link-Router entwickelt wurden. Diese schädlichen Firmware-Versionen enthalten umfangreiche Änderungen und Ergänzungen der Originaldateien.

Beim Vergleich der manipulierten TP-Link-Firmware mit einer legitimen Version stellten die Experten fest, dass die Kernel- und uBoot-Abschnitte identisch waren. Allerdings enthielt die unsichere Firmware ein benutzerdefiniertes SquashFS-Dateisystem, das zusätzliche beschädigte Dateikomponenten enthielt, die mit dem Horse Shell-Backdoor-Implantat in Zusammenhang standen. Darüber hinaus verändert die unsichere Firmware auch das Verwaltungs-Webpanel, wodurch der Gerätebesitzer effektiv daran gehindert wird, ein neues Firmware-Image auf den Router zu flashen, und die Persistenz der Infektion sichergestellt wird.

Die schädlichen Eigenschaften des Pferdeschalenimplantats

Sobald das Horse Shell-Hintertürimplantat aktiviert ist, nutzt es mehrere Techniken, um seine Beständigkeit und verdeckte Funktion sicherzustellen. Erstens weist es das Betriebssystem an, seinen Prozess nicht zu beenden, wenn bestimmte Befehle wie SIGPIPE, SIGIN oder SIGABRT ausgegeben werden. Darüber hinaus wandelt es sich selbst in einen Daemon um, sodass es unbemerkt im Hintergrund ausgeführt werden kann.

Als nächstes stellt die Hintertür eine Verbindung mit dem Command-and-Control (C2)-Server der Operation her. Es sendet das Maschinenprofil des Opfers, das Informationen wie den Benutzernamen, die Betriebssystemversion, Gerätedetails, IP-Adresse, MAC-Adresse und unterstützte Funktionen des Implantats enthält.

Nach Abschluss der Einrichtungsphase wartet Horse Shell geduldig auf Anweisungen vom C2-Server. Es lauscht auf drei spezifische Befehle:

  • Starten Sie eine Remote-Shell: Dieser Befehl gewährt den Bedrohungsakteuren vollständigen Zugriff auf das kompromittierte Gerät und ermöglicht es ihnen, Befehle auszuführen und unsichere Aktivitäten durchzuführen.
  • Führen Sie Dateiübertragungsaktivitäten durch: Die Hintertür erleichtert das Hoch- und Herunterladen von Dateien, die grundlegende Dateibearbeitung und die Verzeichnisaufzählung, sodass die Bedrohungsakteure Daten auf dem kompromittierten Gerät manipulieren können.
  • Tunneling starten: Horse Shell kann Tunneling initiieren, um das Ziel und den Ursprung des Netzwerkverkehrs zu verschleiern. Durch das Verbergen der C2-Serveradresse trägt diese Technik dazu bei, dass die Operationen der Angreifer unauffällig bleiben.

Forscher stellen fest, dass das Firmware-Implantat von Horse Shell nicht auf einen bestimmten Firmware-Typ beschränkt ist, sondern Firmware-agnostisch ist. Daher könnte es theoretisch möglicherweise in Firmware-Images für Router verschiedener Hersteller verwendet werden.

Dass staatlich geförderte Hacker schlecht gesicherte Router ins Visier nehmen, ist nicht überraschend. Router werden häufig von Botnets für Aktivitäten wie DDoS-Angriffe (Distributed Denial of Service) oder Krypto-Mining-Operationen angegriffen. Diese Angriffe machen sich die oft übersehenen Sicherheitsmaßnahmen von Routern zunutze und ermöglichen es den kompromittierten Geräten, als unauffällige Startrampen für schädliche Aktivitäten zu fungieren und gleichzeitig die Herkunft des Angreifers zu verschleiern.

Im Trend

Am häufigsten gesehen

Wird geladen...