Horse Shell マルウェア

中国政府の支援を受けているとみられる「Camaro Dragon」として知られるハッカー集団が、住宅用TP-LinkルーターをHorse Shellと呼ばれるカスタムマルウェアに感染させていることが判明した。この攻撃キャンペーンは、特にヨーロッパの外交機関をターゲットにしています。

ハッカーは、TP-Link ルーター用にカスタマイズされた脅威的なファームウェアを介して、このバックドア マルウェアを展開します。そうすることで、住宅ネットワークから発信されたように見える攻撃を実行できます。

このタイプの攻撃は、通常の住宅およびホーム ネットワークを標的とします。したがって、ホームルーターの感染は、必ずしも住宅所有者自体が特定の標的になったことを示すわけではありません。むしろ、彼らのデバイスは、攻撃者が目的を達成するための手段として機能します。

マルウェアが展開されると、攻撃者は感染したデバイスに完全にアクセスできるようになります。これには、シェル コマンドの実行、ファイルのアップロードとダウンロード、ルーターを SOCKS プロキシとして利用してデバイス間の通信を容易にする機能が含まれます。

この調査では、2023 年 1 月に Horse Shell TP-Link ファームウェア インプラントが発見されました。ハッカーの活動がマスタング パンダとして知られる別の中国のハッカー グループと重複していることが観察されていますが、彼らは別の Camaro Dragon の名前で脅威アクターを追跡しています。

Horse Shell は安全でない TP-Link ファームウェアを介して導入されています

サイバーセキュリティ研究者の調査結果によると、攻撃者は脅威となるファームウェア イメージを導入することで TP-Link ルーターに感染します。これは、ルーターのソフトウェアの脆弱性を悪用したり、総当たりの方法で管理者の資格情報を推測しようとしたりすることによって達成された可能性があります。

脅威アクターがルーターの管理インターフェイスへの管理アクセスを取得すると、Horse Shell マルウェアを含むカスタム ファームウェア イメージでデバイスをリモートから更新できるようになります。

これまでに、TP-Link ルーター専用に設計されたトロイの木馬化されたファームウェア イメージのサンプルが 2 つ発見されています。これらの有害なファームウェア バージョンには、元のファイルに対する大幅な変更と追加が含まれています。

専門家は、改ざんされた TP-Link ファームウェアを正規バージョンと比較したところ、カーネル セクションと uBoot セクションが同一であることを発見しました。ただし、安全でないファームウェアには、Horse Shell バックドア インプラントに関連する追加の破損したファイル コンポーネントを含むカスタム SquashFS ファイルシステムが組み込まれていました。さらに、安全でないファームウェアは管理 Web パネルも変更し、デバイス所有者が新しいファームウェア イメージをルータにフラッシュすることを効果的に阻止し、感染の持続を保証します。

ホースシェルインプラントの有害な能力

Horse Shell バックドア インプラントがアクティブ化されると、その永続性と秘密の動作を保証するためにいくつかの技術が使用されます。まず、SIGPIPE、SIGIN、SIGABRT などの特定のコマンドが発行されたときに、プロセスを終了しないようにオペレーティング システムに指示します。さらに、それ自体がデーモンに変換され、バックグラウンドでサイレントに実行できるようになります。

次に、バックドアは、オペレーションのコマンド アンド コントロール (C2) サーバーとの接続を確立します。ユーザー名、オペレーティング システムのバージョン、デバイスの詳細、IP アドレス、MAC アドレス、インプラントのサポートされている機能などの情報を含む、被害者のマシン プロファイルを送信します。

セットアップ フェーズが完了すると、Horse Shell は C2 サーバーからの指示を辛抱強く待ちます。次の 3 つの特定のコマンドをリッスンします。

• リモート シェルを開始する:このコマンドにより、脅威アクターは侵害されたデバイスへの完全なアクセスを許可され、コマンドを実行して安全でないアクティビティを実行できるようになります。
• ファイル転送アクティビティを実行する:バックドアは、ファイルのアップロードとダウンロード、基本的なファイル操作、ディレクトリの列挙を容易にし、脅威アクターが侵害されたデバイス上のデータを操作できるようにします。
• トンネリングの開始: Horse Shell はトンネリングを開始して、ネットワーク トラフィックの宛先と発信元を難読化できます。この手法は、C2 サーバーのアドレスを隠すことにより、攻撃者の操作のステルス性を維持するのに役立ちます。

研究者らは、Horse Shell ファームウェア インプラントは特定の種類のファームウェアに限定されず、ファームウェアに依存しないことに注目しています。したがって、理論的には、さまざまなベンダーのルーターのファームウェア イメージで使用される可能性があります。

国家支援のハッカーが安全性の低いルーターを標的にするのは驚くべきことではありません。ルーターは、分散型サービス拒否 (DDoS) 攻撃や暗号通貨マイニング操作などの活動のボットネットの標的になることがよくあります。これらの攻撃は、見落とされがちなルータのセキュリティ対策を利用して、侵害されたデバイスを有害な活動の目立たない発射台として機能させ、攻撃者の発信元を隠蔽します。