Вредоносная кампания Chalubo RAT была нацелена на конкретные модели маршрутизаторов Actiontec и Sagemcom, в первую очередь затронув сеть Windstream. Вредоносная программа использовала атаки методом перебора для получения доступа, выполняла загрузку данных в память, чтобы избежать обнаружения, и взаимодействовала с серверами C2 по зашифрованным каналам. Атака привела к значительному сбою в работе, потребовавшему замены более 600 000 маршрутизаторов, что подчеркивает необходимость принятия надежных мер безопасности и регулярного обновления для предотвращения подобных инцидентов.
Последствия для интернет-провайдеров:
📌Windstream: Пострадал интернет-провайдер, более 600 000 маршрутизаторов были выведены из строя в период с 25 по 27 октября 2023 года.
📌Модели: Actiontec T3200, T3260 и Sagemcom F5380.
📌Последствия: Примерно 49% модемов интернет-провайдера были отключены, что потребовало замены оборудования.
Глобальные последствия:
📌Активность ботнета: С сентября по ноябрь 2023 года панели ботнета Chalubo взаимодействовали с 117 000 уникальными IP-адресами в течение 30 дней.
📌Географическое распределение: Большинство заражений произошло в США, Бразилии и Китае.
📌Особенности: 95% ботов взаимодействовали только с одной панелью управления.
Уязвимые маршрутизаторы
📌 Целевые модели: маршрутизаторы бизнес-класса с истекшим сроком службы.
📌Actiontec T3200 и T3260 — это беспроводные маршрутизаторы VDSL2, одобренные компанией Windstream.
📌Sagemcom F5380 — это маршрутизатор WiFi6 (802.11ax).
📌 Модели DrayTek Vigor 2960 и 3900
Вредоносное ПО: Chalubo RAT
📌Впервые обнаружен Sophos Labs в августе 2018 года.
📌Основные функции: DDoS-атаки, выполнение Lua-скриптов и методы обхода с использованием шифрования ChaCha20.
📌Первоначальное заражение: Использует атаки методом перебора на SSH-серверы со слабыми учетными данными (например, root: admin).
📌Доставка полезной нагрузки:
📌Первый этап: скрипт bash («get_scrpc») запускает второй скрипт («get_strtriush»), который извлекает и выполняет основную полезную нагрузку бота («Chalubo» или «mips.elf»).
📌Выполнение: Вредоносная программа запускается в памяти, удаляет файлы с диска и изменяет имя процесса, чтобы избежать обнаружения.
📌Взаимодействие:
📌Серверы C2: выполняется циклический просмотр фиксированных C2s, загрузка следующего этапа и его расшифровка с помощью ChaCha20.
📌Закрепление: Новая версия не поддерживает закрепление на зараженных устройствах.
Вредоносная программа Hiatus RAT
📌 Порт 8816: HiatusRAT проверяет наличие существующих процессов на порту 8816, отключает все существующие службы и открывает прослушиватель на этом порту.
📌 Сбор информации: Собирает информацию о хосте и отправляет ее на сервер C2 для отслеживания статуса заражения и регистрации информации о скомпрометированном хосте.
📌 Первоначальный доступ: Путем использования уязвимостей во встроенном ПО маршрутизатора или с использованием ненадежных учетных данных.
📌 Закрепление: используется скрипт bash для загрузки и выполнения HiatusRAT и двоичного файла для перехвата пакетов
Лаборатория Black Lotus обнаружила новые вредоносные кампании на маршрутизаторах
📌Black Lotus Labs, исследовательская группа по изучению угроз в Lumen Technologies (ранее CenturyLink), недавно обнаружила две крупные кампании вредоносных программ, нацеленных на маршрутизаторы и сетевые устройства разных производителей. Эти открытия свидетельствуют о растущих угрозах, с которыми сталкивается инфраструктура Интернета, и о необходимости совершенствования методов обеспечения безопасности.
Кампания Hiatus
📌В марте 2023 года Black Lotus Labs сообщила о проведении комплексной кампании под названием «Hiatus», которая с июня 2022 года была нацелена на маршрутизаторы бизнес-класса, в первую очередь на модели DrayTek Vigor 2960 и 3900.
📌Злоумышленники использовали маршрутизаторы DrayTek с истекшим сроком службы для обеспечения долговременного сохранения без обнаружения.
📌В Интернете было опубликовано около 4100 уязвимых моделей DrayTek, при этом Hiatus скомпрометировал примерно 100 из них в Латинской Америке, Европе и Северной Америке.
📌После заражения вредоносная программа перехватывает данные, передаваемые через зараженный маршрутизатор, и внедряет троянскую программу удаленного доступа (RAT) под названием «HiatusRAT», которая может передавать вредоносный трафик в дополнительные сети.
📌Black Lotus Labs отключила маршрутизацию серверов управления и разгрузки (C2) на глобальной магистрали Lumen и добавила индикаторы компрометации (IOCs) в свою систему быстрой защиты от угроз, чтобы блокировать угрозы до того, как они достигнут сетей клиентов.
Кампания Pumpkin Eclipse
📌В конце октября 2023 года лаборатория Black Lotus Labs исследовала массовый сбой, затронувший определенные модели шлюзов ActionTec (T3200s и T3260s) и Sagemcom (F5380) в сети одного интернет-провайдера.
📌Более 600 000 устройств отображали красный индикатор, указывающий на вероятную проблему с повреждением встроенного ПО.
📌Атака была ограничена определенным номером автономной системы (ASN), затронув около 49% устройств в этой сети, подвергшихся воздействию.
📌Лаборатории Black Lotus обнаружили многоступенчатый механизм заражения, который позволил установить Chalubo RAT — ботнет, нацеленный на шлюзы SOHO и устройства Интернета вещей.
📌Black Lotus Labs добавила IOC в свою аналитическую ленту threat intelligence, пополнив портфель подключенных средств безопасности Lumen.