Zerstörerische Malware macht 600.000 Router unbrauchbar

Black Lotus Labs hat einen massiven Cyberangriff aufgedeckt, bei dem über 600.000 Small Office/Home Office (SOHO) Router eines einzigen Internetdienstanbieters (ISP) in einem Zeitraum von 72 Stunden zwischen dem 25. und 27. Oktober offline genommen wurden. Diese Geräte wurden durch den Angriff dauerhaft unbrauchbar und erforderten einen Hardwareaustausch. Öffentliche Scan-Daten bestätigten den plötzlichen Verlust von 49 % aller Modems im autonomen System (ASN) des betroffenen ISPs während dieses Zeitraums.

Die Analyse von Black Lotus Labs identifizierte „Chalubo“, einen Remote Access Trojaner (RAT), als Hauptursache für das Ereignis. Chalubo, erstmals 2018 entdeckt, tarnt seine Aktivitäten geschickt, indem es alle Dateien vom Datenträger entfernt und ausschließlich im Speicher läuft, sich als bereits vorhandener Prozess ausgibt und alle Kommunikationen mit dem Command-and-Control (C2) Server verschlüsselt.

Im Oktober 2023 bemerkten die Forscher eine wachsende Anzahl von Beschwerden in öffentlichen Internetforen und Ausfall-Detektoren. Diese Beschwerden konzentrierten sich auf zwei spezifische Routermodelle von ActionTec, die ab dem 25. Oktober nicht mehr funktionierten und eine statische rote Leuchte zeigten. Eine Untersuchung führte zur Entdeckung eines mehrstufigen Infektionsmechanismus, der den Chalubo RAT installierte.

Die genaue Methode, mit der der anfängliche Zugriff erlangt wurde, ist unbekannt. Vermutet wird die Ausnutzung schwacher default Zugangsdaten oder einer exponierten Administrationsschnittstelle, da ActionTec Router eine Reihe von Schwachstellen in die Richtung aufwiesen. Sobald die Geräte kompromittiert waren, luden sie bösartige Skripte herunter, die weitere Schadsoftware installierten und alle Spuren von sich selbst löschten, um einer Entdeckung zu entgehen.

Chalubo nutzte ChaCha20-Verschlüsselung für die Kommunikation mit den C2-Servern und konnte beliebige Lua-Skripte ausführen, um schädliche Befehle auf den betroffenen Geräten auszuführen. Während der Untersuchung fanden sich Hinweise darauf, dass die Angreifer die Funktionen zur Durchführung von DDoS-Angriffen nicht nutzten, obwohl diese in der Malware vorhanden waren.

Die Telemetriedaten von Lumen zeigten, dass Chalubo von September bis November 2023 weltweit aktiv war. Während dieser Zeit kommunizierten etwa 650.000 einzigartige IP-Adressen mit mindestens einem C2-Server. Diese Verteilung legt nahe, dass die Akteure hinter diesem Angriff möglicherweise den Kauf eines Malware-Panels zur Verschleierung der Attribution nutzten.

Related Posts

Kritische Sicherheitslücke in TIBCO Managed File Transfer Platform Server entdeckt

Eine schwerwiegende Sicherheitslücke wurde in TIBCO Managed File Transfer Platform Server für Unix und z/Linux identifiziert. Diese Schwachstelle CVE-2024-4407 ermöglicht es Angreifern, die Benutzer-ID/Passwort-Authentifizierung zu umgehen und Dateien als root zu übertragen oder Befehle als root auszuführen. Dies ist möglich, wenn die Produktkonfiguration von den empfohlenen Konfigurationsstandards abweicht und der Platform Server als root gestartet wird. Wenn der Platform Server als nicht-root gestartet wird, können keine Dateien als root übertragen oder Befehle als root ausgeführt werden.

Read More

Checkmk check_sftp Lücke: Upload und Download auf beliebige Systempfade möglich

Checkmk hat eine Sicherheitslücke in der Komponente check_sftp behoben, die es Nutzern ermöglichte, beliebige lokale Pfade zum Hoch- und Herunterladen von Dateien zu verwenden. Diese Lücke wurde durch eine interne Überprüfung entdeckt und betrifft die Versionen 2.1.0, 2.2.0, 2.3.0 sowie die inzwischen nicht mehr unterstützte Version 2.0.0.

Read More

Argument Injection Schwachstelle in Mitel MiCollab

Mitel hat eine schwerwiegende Sicherheitslücke in der NuPoint Unified Messaging (NPM) Komponente von Mitel MiCollab entdeckt. Die Argument Injection Schwachstelle (CVE-2024-35285) könnte von einem Angreifer ausgenutzt werden, um beliebige Befehle im Kontext des Systems auszuführen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems dar.

Read More