Chalubo RAT IOCs - SEC-1275-1

Лаборатория Black Lotus Labs компании Lumen Technologies обнаружила серьезное инцидент: более 600 000 маршрутизаторов для малых и домашних офисов (SOHO), принадлежащих одному интернет-провайдеру (ISP), были выведены из строя в течение 72 часов в конце октября. Это привело к окончательной неработоспособности зараженных устройств и требовало их замены. Инцидент связан с использованием трояна удаленного доступа (RAT) под названием Chalubo, который был обнаружен в 2018 году.

Chalubo имеет полезную нагрузку, предназначенную для основных ядер SOHO/IoT, способен проводить DDoS-атаки и выполнять любые Lua-скрипты, отправленные боту. Однако данный атакующий функционал Lua не использовался в данном инциденте. Исследователи уверены, что вредоносное обновление прошивки было осознанным действием, направленным на вызов перебоев в работе, хотя ожидалось, что пострадают несколько марок и моделей маршрутизаторов.

Indicators of Compromise

IPv4

103.140.187.149
104.233.210.118
104.233.210.119
107.148.88.123
38.54.27.204

Domains

axon-stall.riddlecamera.net
Checkqazxsw1.com

URLs

http://185.189.240.13:8080/E2XRIEGSOAPU3Z5Q8
http://185.189.240.13:8080/E2XRIEGSOAPU3Z5Q8/res.dat
http://194.36.190.99:38291/as/crtarm3
http://2.59.222.97/dldsc522dsdasd/res.dat
http://91.211.88.225:8080/SASBCKXOWYALLCZXF
http://91.211.88.6:8080/ASUHALUMNABTC
http://ammhdfgygb.com/dldsc522dsdasd/res.dat
http://coreconf.net:8080/E2XRIEGSOAPU3Z5Q8
http://coreconf.net:8080/E2XRIEGSOAPU3Z5Q8/mips
http://d2h7pt7y3j9pry.cloudfront.net/sticker_res/3051/res.dat
http://denglujiechi666.oss-cn-chengdu.aliyuncs.com
http://mmmmm999.oss-cn-chengdu.aliyuncs.com
http://nihiosuxnmo.com:8080/SASBCKXOWYALLCZXF;
http://sainnguatc.com:8080/ASUHALUMNABTC
http://sainnguatc.com:8080/ASUHALUMNABTC/res.dat
http://secu100.com/23652xxxxx000008skcai/res.dat
http://xmsecu.io/00030674uucyttsikk/res.dat
http://xmsecu.io/00030678bbgstrjs/res.dat
http://xmsecu.io/c638020vkklkjjiu/res.dat
http://xmsecu.net/00030695mcksiqq/res.dat
http://xmsecu100.net/23652xxxxx000008skcai/res.dat
https://cu6s.com
https://dh.id3cqcmgjcb.top
https://m.aiguoba.com
https://m.isanyin.com
https://mh.55dmh.com
https://www.3smh.com
https://www.v5002.cn

SHA1

183fa84e35bb498efb4dfb05d2a4997cd66e2f0f
21d9ae29551dcbe39de375bdf8ada5a47b0e2372
27dc61dd0bb9a53799ae29c6927f38d98ccdb27b
6c6609264e9e4b365e1bd7df187f4405a1df3f02

SHA256
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