이 미스터리한 중국 캠페인은 트로이목마에 감염된 라우터 펌웨어를 사용하고 있습니다.

Jun 09, 2023

Check Point의 보안 연구원들은 중국 위협 그룹이 알 수 없는 목적으로 배포한 것으로 생각되는 "Horse Shell"이라고 불리는 독특하고 새로운 악성 라우터 펌웨어 임플란트를 발견했다고 밝혔습니다.

Horse Shell 임플란트는 TP-Link 홈 라우터 펌웨어를 남용하도록 맞춤화되었으며 C++로 작성되었으며 MIPS32 기반 운영 체제(주로 모뎀, 라우터, 스위치 등과 같은 네트워킹 장비에 사용됨)용으로 컴파일되었습니다.

세 가지 주요 기능을 제공합니다.

다소 특이하게도 임플란트에 의한 모든 통신은 대체 순열 네트워크(Substitution-Permutation Network)를 기반으로 하는 사용자 정의 또는 수정된 암호화 체계를 사용하여 암호화됩니다. 그들이 봇넷을 구축하고 있다면 그것은 희미하게 이상한 것입니다.

Check Point의 연구원들은 라우터에 임플란트를 심기 위한 초기 위협 벡터가 무엇인지, 그리고 그 뒤에 있는 그룹이 의도하는 것이 무엇인지 가장 모호한 단서를 얻지 못했다고 공개적으로 인정합니다. 국가"이며, Horse Shell이 ​​동일한 그룹의 공격 인프라에서 발견되었지만 해당 캠페인과 전혀 관련이 없을 수 있습니다.

그들이 가장 먼저 발견한 것은 포트 14444의 모든 IPv4 네트워크 인터페이스에 바인딩되는 간단한 비밀번호로 보호된 셸 바이너리였으며 그들은 "비밀번호는 문자열이라는 고도로 발전되고 고유한 도구를 사용하여 공개될 수 있습니다. 비밀번호를 입력하려면 다음 명령을 실행하세요.

$ 문자열 쉘 [..] 비밀번호: J2)3#4G@Iie 성공! /bin/sh [..]

👆 음, 편리하네요...

Check Point는 "공격자의 목표는 주요 감염과 실제 명령 및 제어 사이에 노드 체인을 생성하는 것으로 보이며, 그렇다면 특별한 관심 없이 임의의 장치에 임플란트를 설치할 가능성이 높습니다"라고 말했습니다. "코드에 여러 오픈 소스 라이브러리를 스마트하게 통합했습니다. 원격 셸은 Telnet을 기반으로 하고 이벤트는 libev에 의해 처리되며 그 안에 libbase32가 있고 ikcp도 있으며 목록 컨테이너는 TOR의 스마트 목록 구현을 기반으로 합니다." 그 능력에 힘을 실어주세요.

공격자는 기존 파일 2개를 수정하고 라우터 펌웨어에 새 파일 4개를 추가했습니다(악성 프로그램의 실제 설계는 펌웨어에 구애받지 않으며 다른 공급업체의 펌웨어에 통합될 수 있거나 통합될 수 있습니다.). 이 악성 코드는 정기적으로 많은 정보를 사용하여 C2 네트워크에 호출합니다. Check Point가 말한 내용을 포함하여 각 끝점에는 다음이 포함됩니다.

"Horse Shell의 기능은 획기적이지는 않지만 확실히 평범한 것도 아닙니다."라고 Check Point는 말했습니다.

"그러나 복잡한 이벤트 중심 프로그램을 만들기 위해 libev에 의존하고 복잡한 구조와 목록 컨테이너를 선호하기 때문에 이를 분석하는 작업이 더욱 어려워졌습니다. 하지만 말을 아끼지 말자. 코드 품질이 인상적입니다. 그리고 다양한 모듈과 구조에 걸쳐 다양한 작업을 처리하는 임플란트의 능력은 우리를 일어서게 하고 주목하게 만드는 일종의 고급 기술을 보여줍니다…"

Check Point는 분석한 활동이 "Avast와 Eset이 공개한 활동과 상당히 중복되어 중국 계열 APT 그룹 'Mustang Panda'와 연결되어 있으며 모든 개발자의 정교함에도 불구하고 그들은 또한 틀림없이 서투르게도 발견했습니다. 국가 지원 위협 행위자 – Horse Shell의 C&C가 확인하는 IP 주소(91.245.253[.]72)는 Mustang Panda 캠페인 분석에 대한 Avast의 보고서에 나열되어 있습니다.

이상한.

여기에서 전체 분석을 확인하세요.