この謎の中国キャンペーンは、トロイの木馬化されたルーター ファームウェアを使用しています

Jun 09, 2023

チェック・ポイントのセキュリティ研究者らは、「Horse Shell」と呼ばれる独自の新たな悪意のあるルーター・ファームウェア・インプラントに遭遇し、これは中国の脅威グループによって未知の目的で導入されていると考えられると述べた。

Horse Shell インプラントは、TP-Link ホーム ルーター ファームウェアを悪用するように調整されており、C++ で書かれ、MIPS32 ベースのオペレーティング システム (主にモデム、ルーター、スイッチなどのネットワーク機器で使用される) 用にコンパイルされています。

これには 3 つの主な機能があります。

少し珍しいことに、インプラントによるすべての通信は、置換置換ネットワークに基づいたカスタムまたは変更された暗号化スキームを使用して暗号化されます。 もし彼らがボットネットを構築しているとしたら、それは少し奇妙なものです。

チェック・ポイントの研究者らは、ルーターにインプラントを着地させるための最初の脅威ベクトルが何だったのか、またその背後にいるグループが何を意図しているのか、ほとんど手がかりが得られていないことを率直に認めている。彼らは「複数の欧州諸国の当局者を標的とした高度な攻撃を分析しているときに、偶然それを発見した」同じグループの攻撃インフラ上でホースシェルが発見されましたが、これはそのキャンペーンとはまったく無関係である可能性があります。

彼らが最初に発見したのは、ポート 14444 上のすべての IPv4 ネットワーク インターフェイスにバインドされる単純なパスワードで保護されたシェル バイナリでした。彼らは「パスワードは、文字列と呼ばれる非常に高度で非常にユニークなツールを使用して明らかにできる可能性があります。パスワードを入力するには、次のコマンドを実行するだけです。

$ strings シェル [..] パスワード: J2)3#4G@Iie 成功! /bin/sh [..]

👆 なるほど、便利ですね…。

チェック・ポイントは、「攻撃者の目的は、主要な感染と実際の指揮統制との間にノードのチェーンを作成することのようであり、もしそうなら、彼らは特に興味を持たずに任意のデバイスにインプラントをインストールする可能性が高い」と述べている。このマルウェアは、「コード内に複数のオープンソース ライブラリをスマートに統合しています。そのリモート シェルは Telnet に基づいており、イベントは libev によって処理され、その中に libbase32 があり、ikcp もあり、そのリスト コンテナは TOR のスマートリスト実装に基づいています」その機能を強化します。

攻撃者は 2 つの既存のファイルを変更し、ルータのファームウェアに 4 つの新しいファイルを追加しました (マルウェアの実際の設計はファームウェアに依存せず、さまざまなベンダーのファームウェアに統合される可能性があります)。この攻撃は、多数の情報を使用して C2 ネットワークを定期的に呼び出します。各エンドポイントで、Check Point が次のように述べたことを含みます。

「Horse Shellの機能は画期的ではないが、ありきたりでもないのも確かだ」とチェック・ポイントは述べた。

「しかし、複雑なイベント駆動型プログラムを作成するために libev に依存していること、および複雑な構造とリスト コンテナーを好む傾向があるため、それを分析する作業がさらに困難になります。しかし、言葉を切り詰めるのはやめましょう。コードの品質は印象的であり、そして、さまざまなモジュールや構造にわたって複数のタスクを処理するインプラントの能力は、私たちを立ち上がらせて注目させる一種の高度なスキルを実証しています…」

チェック・ポイントが分析したところによると、この活動は「アバストとイーセットが公表した活動と大きく重複しており、中国関連のAPTグループ「Mustang Panda」に関連付けられており、開発者の洗練さの割に、おそらく不器用なことに、次のようなことも判明した」としている。国家支援の脅威アクター – Horse Shell の C&C が解決する IP アドレス (91.245.253[.]72) が、Mustang Panda キャンペーンの分析に関するアバストのレポートに記載されています。

独特です。

完全な内訳はこちらをご覧ください。