Check Point Research (CPR) рассказала про вредоносный имплант прошивки для маршрутизаторов TP-Link, позволяющий злоумышленникам получить полный контроль над зараженными устройствами и доступ к скомпрометированным сетям, уклоняясь от обнаружения. CPR приписывает атаки китайской государственной APT-группе "Camaro Dragon".
Образ прошивки содержал несколько вредоносных компонентов, включая пользовательский имплант MIPS32 ELF, получивший название "Horse Shell". В дополнение к имплантату был обнаружен пассивный бэкдор, предоставляющий злоумышленникам оболочку для доступа к зараженным устройствам.
"Horse Shell", основной имплант, вставленный злоумышленниками в модифицированную прошивку, предоставляет атакующему 3 основные функциональные возможности:
- Удаленный shell: Выполнение произвольных команд shell на зараженном маршрутизаторе.
- Передача файлов: Загрузка и скачивание файлов на зараженный маршрутизатор и с него.
- SOCKS-туннелирование: Передача данных между различными клиентами.
Благодаря тому, что имплантат не зависит от прошивки, его компоненты могут быть интегрированы в прошивки различных производителей.
Метод развертывания образов микропрограмм на зараженных маршрутизаторах пока неясен, как и их использование и участие в реальных вторжениях.
Indicators of Compromise
IPv4
- 91.245.253.72
Domains
- m.cremessage.com
SHA256
- 66cc81a7d865941cb32ed7b1b84b20270d7d667b523cab28b856cd4e85f135b6
- 7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a
- 8a2e9f6c2b0c898090fdce021b3813313e73a256a5de39c100bf9868abc09dbb
- 998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c
- da046a1fe6f3b94e48c24ffd341f8d97bfc06252ddf4d332e8e2478262ad1964
- ed3d667a4fa92d78a0a54f696f4e8ff254def8d6f3208e6fe426dbe7fb3f3dd0