Remises multi-licences
Threat Database Malware Logiciel malveillant Horse Shell

Logiciel malveillant Horse Shell

Par Mezo en Malware, Backdoors
Se traduisent par :
Français

Un groupe de piratage connu sous le nom de "Camaro Dragon", qui serait parrainé par l'État chinois, a été découvert en train d'infecter des routeurs TP-Link résidentiels avec un logiciel malveillant personnalisé appelé Horse Shell. Cette campagne d'attaques vise spécifiquement les organisations européennes des affaires étrangères.

Les pirates déploient ce logiciel malveillant de porte dérobée via un micrologiciel personnalisé et menaçant adapté aux routeurs TP-Link. Ce faisant, ils peuvent mener des attaques qui semblent provenir de réseaux résidentiels.

Ce type d'attaque cible les réseaux résidentiels et domestiques classiques. Par conséquent, l'infection d'un routeur domestique n'indique pas nécessairement que les propriétaires eux-mêmes étaient une cible spécifique ; au contraire, leurs appareils servent à faciliter le chemin pour que les attaquants atteignent leurs objectifs.

Une fois le logiciel malveillant déployé, les acteurs de la menace obtiennent un accès complet à l'appareil infecté. Cela inclut la possibilité d'exécuter des commandes shell, de charger et de télécharger des fichiers et d'utiliser le routeur comme proxy SOCKS pour faciliter la communication entre les appareils.

La recherche a découvert l'implant du micrologiciel Horse Shell TP-Link en janvier 2023. Ils ont observé que les activités des pirates se chevauchent avec un autre groupe de piratage chinois connu sous le nom de Mustang Panda, mais ils suivent les acteurs de la menace sous le nom distinct de Camaro Dragon.

Horse Shell est déployé via un micrologiciel TP-Link non sécurisé

Selon les conclusions des chercheurs en cybersécurité, les attaquants infectent les routeurs TP-Link en introduisant une image de firmware menaçante. Cela peut avoir été réalisé en exploitant les vulnérabilités du logiciel du routeur ou en essayant de deviner les informations d'identification de l'administrateur par des méthodes de force brute.

Une fois que l'auteur de la menace obtient un accès administratif à l'interface de gestion du routeur, il a la possibilité de mettre à jour l'appareil à distance avec l'image du micrologiciel personnalisé contenant le logiciel malveillant Horse Shell.

Jusqu'à présent, deux échantillons d'images de micrologiciels contenant des chevaux de Troie spécialement conçus pour les routeurs TP-Link ont été découverts. Ces versions de firmware nuisibles contiennent des modifications et des ajouts importants aux fichiers d'origine.

En comparant le micrologiciel TP-Link falsifié avec une version légitime, les experts ont constaté que les sections noyau et uBoot étaient identiques. Cependant, le micrologiciel dangereux incorporait un système de fichiers SquashFS personnalisé qui contenait des composants de fichiers corrompus supplémentaires associés à l'implant de porte dérobée Horse Shell. De plus, le micrologiciel dangereux modifie également le panneau Web de gestion, empêchant efficacement le propriétaire de l'appareil de flasher une nouvelle image de micrologiciel sur le routeur et garantissant la persistance de l'infection.

Les capacités nocives de l'implant Horse Shell

Une fois que l'implant de porte dérobée Horse Shell est activé, il utilise plusieurs techniques pour assurer sa persistance et son fonctionnement secret. Premièrement, il demande au système d'exploitation de ne pas terminer son processus lorsque certaines commandes, telles que SIGPIPE, SIGIN ou SIGABRT, sont émises. De plus, il se convertit en démon, ce qui lui permet de s'exécuter silencieusement en arrière-plan.

Ensuite, la porte dérobée établit une connexion avec le serveur de commande et de contrôle (C2) de l'opération. Il envoie le profil de la machine de la victime, qui comprend des informations telles que le nom d'utilisateur, la version du système d'exploitation, les détails de l'appareil, l'adresse IP, l'adresse MAC et les fonctionnalités prises en charge par l'implant.

Après avoir terminé la phase de configuration, Horse Shell attend patiemment les instructions du serveur C2. Il écoute trois commandes spécifiques :

  • Démarrer un shell distant : cette commande accorde aux acteurs de la menace un accès complet à l'appareil compromis, leur permettant d'exécuter des commandes et d'effectuer des activités dangereuses.
  • Effectuer des activités de transfert de fichiers : la porte dérobée facilite le chargement et le téléchargement de fichiers, la manipulation de base des fichiers et l'énumération des répertoires, permettant aux acteurs de la menace de manipuler les données sur l'appareil compromis.
  • Démarrer le tunneling : Horse Shell peut initier le tunneling pour masquer la destination et l'origine du trafic réseau. En masquant l'adresse du serveur C2, cette technique aide à maintenir la furtivité des opérations des attaquants.

Les chercheurs notent que l'implant de micrologiciel Horse Shell n'est pas limité à un type distinct de micrologiciel, mais est indépendant du micrologiciel. Par conséquent, en théorie, il pourrait potentiellement être utilisé dans des images de micrologiciel pour des routeurs de divers fournisseurs.

Le ciblage de routeurs mal sécurisés par des pirates parrainés par l'État n'est pas surprenant. Les routeurs sont souvent ciblés par les botnets pour des activités telles que les attaques par déni de service distribué (DDoS) ou les opérations de crypto-minage. Ces attaques tirent parti des mesures de sécurité souvent négligées des routeurs, permettant aux appareils compromis de servir de rampes de lancement discrètes pour les activités nuisibles tout en masquant l'origine de l'attaquant.

Tendance

Le plus regardé

Chargement...