Chalubo: わずか 72 時間で 600,000 台以上のルーターを使用不能にした RAT 

Darkcrizt

4分

Chalubo、リモート アクセス トロイの木馬 (RAT)

数日前、 Black Lotus Labs が発表しました。 最近のレポートを通じて、 脆弱性により 600,000 台以上のルーターが使用不能になった 小規模オフィスやホームオフィス向け。

そして、それ 72時間の間 (25 年 27 月 2023 日から 600,000 日の間)XNUMX 台を超えるルーターが、「RAT」として知られるリモート アクセス トロイの木馬によって無効になりました。 「チャルボ」。このイベントが発生したため、感染したデバイスは永久に動作不能になり、物理的な交換が必要になりました。

事件について

Black Lotus Labs は出版物の中で、この攻撃は 2018 年から知られている Chalubo マルウェアを使用して実行されたと報告しています。 ボットネットの集中制御を組織し、Linux デバイスで使用されます 86 ビットおよび 86 ビットの ARM、x64、x32_64、MIPS、MIPSEL、および PowerPC アーキテクチャに基づいています。

チャルボマルウェア 実装には次の 3 つの段階が含まれます。

  1. Bash スクリプトの開始:
    • 脆弱性が悪用されたり、侵害された認証情報が使用されたりすると、侵害されたデバイス上で bash スクリプトが実行されます。
    • このスクリプトは、悪意のある実行可能ファイルの存在をチェックします。 /usr/bin/usb2rci。ファイルが存在しない場合、スクリプトは次のコマンドを使用してパケット フィルタを無効にします。 iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
  2. Get_scrpc スクリプトの評価:
    • スクリプト get_scrpc ファイルの MD5 チェックサムを評価します usb2rci.
    • チェックサムが事前定義された値と一致しない場合、スクリプトは 2 番目のスクリプトをロードして実行します。 get_fwuueicj.
  3. get_fwuueicj スクリプトの実行:
    • このスクリプトはファイルの存在をチェックします。 /tmp/.adiisu。存在しない場合は作成します。
    • 次に、MIPS R3000 CPU 用にコンパイルされたメインのマルウェア実行可能ファイルをディレクトリにロードします。 /tmp 名前で crrs そしてそれを開始します。

当社の分析により、リモート アクセス トロイの木馬 (RAT) である「Chalubo」が、このイベントの原因となる主要なペイロードであることが特定されました。このトロイの木馬は 2018 年に初めて確認され、その活動を隠すために巧妙な手法を使用していました。メモリ内で実行するためにディスクからすべてのファイルを削除し、デバイス上にすでに存在するランダムなプロセス名を想定し、コマンド アンド コントロール (C2) サーバーとのすべての通信を暗号化しました。

のように チャルボの行動、sそして、それが次のことを実行すると述べています。

  • 情報の収集と発信: Chalubo 実行可能ファイルは、MAC アドレス、デバイス ID、ソフトウェア バージョン、ローカル IP アドレスなどのホスト情報を収集し、外部サーバーに送信します。
  • メインコンポーネントをダウンロードして実行します: Chalubo は、コントロール サーバーの可用性を確認し、主要なマルウェア コンポーネントをダウンロードします。これは、ChaCha20 ストリーム暗号を使用して復号化されます。
  • lua スクリプトの実行:コア コンポーネントは、コントロール サーバーから任意の Lua スクリプトをダウンロードして実行し、DDoS 攻撃への参加など、デバイスの将来のアクションを決定できます。

など 具体的な情報はありません マルウェアをインストールするためにデバイスがどのように正確に侵害されたのか、そしてそれについての研究者について 彼らは、信頼できない資格情報によりデバイスへのアクセスが取得された可能性があると想定しています。 ベンダーによって提供される、管理インターフェイスに入る一般的なパスワードの使用、または未知の脆弱性の悪用。ボットネットの制御サーバーにアクセスできる攻撃者は、Chalubo の Lua スクリプトを実行する機能を利用し、デバイスのファームウェアを上書きして無効化した可能性があります。

対応する C2 ノードを使用した論理感染プロセス

それに加えて、 Black Lotus Labs が、この攻撃がどのような重大な結果をもたらしたかについて議論します、特に田舎やサービスが行き届いていない地域では、ハードウェア機器を交換する必要性が含まれており、事件後のネットワーク分析により、179 台の ActionTec デバイス (T3200 および T3260) と 480 台の Sagemcom デバイス (F5380) が別のメーカーの機器に置き換えられたことが明らかになりました。

このインシデントは、攻撃の規模だけでなく、Chalubo マルウェアの蔓延にもかかわらず (330,000 年初頭の時点で、記録された 2024 を超える IP が制御サーバーにアクセスしていた) にもかかわらず、悪意のある行為が XNUMX つのプロバイダーに限定されていたため注目に値します。非常に特殊な攻撃。

最後にあなたが それについてもっと知りたい、 あなたはで詳細を確認することができます 次のリンク。