logo
Хроники кибер-безопасника  Ничто так не говорит о безопасности, как сотни ИБ-продуктов и биометрический сканер
О проекте Просмотр Уровни подписки Фильтры Обновления проекта Контакты Поделиться Метки
Все проекты
О проекте
Профессиональный блог на различные ИТ и ИБ-темы. Минимум хайпа и максимум вдумчивого анализа и разбора различных материалов.

📌Не знаете какой уровень вам подходит, прочтите пост https://sponsr.ru/chronicles_security/55295/Platnye_urovni/

Все площадки
➡️Тексты и прочие форматы: TG, Boosty, Sponsr, Teletype.in, VK, Dzen
➡️Аудио: Mave, здесь можно найти ссылки на доступные подкаст площадки, например, Яндекс, Youtube Подкасты, ВК подкасты или Apple с Amazon
➡️Видео: Youtube, Rutube, Dzen, VK

основные категории материалов — используйте теги:

Q& A — лично или chronicles_qa@mail.ru
Публикации, доступные бесплатно
Уровни подписки
Единоразовый платёж

Каждый донат способствует прогрессу в области ИБ, позволяя предоставлять самые актуальные исследования и профессиональные рекомендации. Поддержите ценность контента

* не предоставляет доступ к закрытому контенту и не возращается

Помочь проекту
Праздничный промо 750₽ месяц
Доступны сообщения

Подписка "Постоянный читатель" за полцены!

В течение ограниченного времени мы предлагаем подписку по выгодной цене - со скидкой 50%! Будьте в курсе последних тенденций кибербезопасности благодаря нашим материалам

Предложение действительно до конца этого месяца.

Оформить подписку
Постоянный читатель 1 500₽ месяц 16 200₽ год
(-10%)
При подписке на год для вас действует 10% скидка. 10% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Идеально подходит для постоянных читателей, которые заинтересованы быть в курсе последних тенденций в мире кибербезопасности

Оформить подписку
Профессионал 3 000₽ месяц 30 600₽ год
(-15%)
При подписке на год для вас действует 15% скидка. 15% основная скидка и 0% доп. скидка за ваш уровень на проекте Хроники кибер-безопасника
Доступны сообщения

Предназначено для ИТ-специалистов, экспертов, и энтузиастов, которые готовы погрузится в сложный мир ИБ + Q&A

Оформить подписку
Фильтры
Обновления проекта
Поделиться
Метки
хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов
Читать: 5+ мин
logo Хроники кибер-безопасника

Перезапись встроенного ПО: новая модная тенденция атак на маршрутизаторы

Вредоносная ‎кампания‏ ‎Chalubo ‎RAT ‎была ‎нацелена ‎на‏ ‎конкретные ‎модели‏ ‎маршрутизаторов‏ ‎Actiontec ‎и ‎Sagemcom,‏ ‎в ‎первую‏ ‎очередь ‎затронув ‎сеть ‎Windstream.‏ ‎Вредоносная‏ ‎программа ‎использовала‏ ‎атаки ‎методом‏ ‎перебора ‎для ‎получения ‎доступа, ‎выполняла‏ ‎загрузку‏ ‎данных ‎в‏ ‎память, ‎чтобы‏ ‎избежать ‎обнаружения, ‎и ‎взаимодействовала ‎с‏ ‎серверами‏ ‎C2‏ ‎по ‎зашифрованным‏ ‎каналам. ‎Атака‏ ‎привела ‎к‏ ‎значительному‏ ‎сбою ‎в‏ ‎работе, ‎потребовавшему ‎замены ‎более ‎600‏ ‎000 ‎маршрутизаторов,‏ ‎что‏ ‎подчеркивает ‎необходимость ‎принятия‏ ‎надежных ‎мер‏ ‎безопасности ‎и ‎регулярного ‎обновления‏ ‎для‏ ‎предотвращения ‎подобных‏ ‎инцидентов.

Последствия ‎для‏ ‎интернет-провайдеров:

📌Windstream: Пострадал ‎интернет-провайдер, ‎более ‎600 ‎000‏ ‎маршрутизаторов‏ ‎были ‎выведены‏ ‎из ‎строя‏ ‎в ‎период ‎с ‎25 ‎по‏ ‎27‏ ‎октября‏ ‎2023 ‎года.

📌Модели: Actiontec‏ ‎T3200, ‎T3260‏ ‎и ‎Sagemcom‏ ‎F5380.

📌Последствия: Примерно‏ ‎49% ‎модемов‏ ‎интернет-провайдера ‎были ‎отключены, ‎что ‎потребовало‏ ‎замены ‎оборудования.

Глобальные‏ ‎последствия:

📌Активность‏ ‎ботнета: С ‎сентября ‎по‏ ‎ноябрь ‎2023‏ ‎года ‎панели ‎ботнета ‎Chalubo‏ ‎взаимодействовали‏ ‎с ‎117‏ ‎000 ‎уникальными‏ ‎IP-адресами ‎в ‎течение ‎30 ‎дней.

📌Географическое‏ ‎распределение: Большинство‏ ‎заражений ‎произошло‏ ‎в ‎США,‏ ‎Бразилии ‎и ‎Китае.

📌Особенности: 95% ботов ‎взаимодействовали ‎только‏ ‎с‏ ‎одной‏ ‎панелью ‎управления.


Уязвимые‏ ‎маршрутизаторы

📌 Целевые ‎модели:‏ ‎маршрутизаторы ‎бизнес-класса‏ ‎с‏ ‎истекшим ‎сроком‏ ‎службы.

📌Actiontec ‎T3200 ‎и ‎T3260 ‎—‏ ‎это ‎беспроводные‏ ‎маршрутизаторы‏ ‎VDSL2, ‎одобренные ‎компанией‏ ‎Windstream.

📌Sagemcom ‎F5380‏ ‎— ‎это ‎маршрутизатор ‎WiFi6‏ ‎(802.11ax).

📌 Модели‏ ‎DrayTek ‎Vigor‏ ‎2960 ‎и‏ ‎3900


Вредоносное ‎ПО: ‎Chalubo ‎RAT

📌Впервые ‎обнаружен‏ ‎Sophos‏ ‎Labs ‎в‏ ‎августе ‎2018‏ ‎года.

📌Основные ‎функции: DDoS-атаки, ‎выполнение ‎Lua-скриптов ‎и‏ ‎методы‏ ‎обхода‏ ‎с ‎использованием‏ ‎шифрования ‎ChaCha20.

📌Первоначальное‏ ‎заражение: ‎Использует‏ ‎атаки‏ ‎методом ‎перебора‏ ‎на ‎SSH-серверы ‎со ‎слабыми ‎учетными‏ ‎данными ‎(например,‏ ‎root:‏ ‎admin).

📌Доставка ‎полезной ‎нагрузки:

📌Первый‏ ‎этап: ‎скрипт‏ ‎bash ‎(«get_scrpc») ‎запускает ‎второй‏ ‎скрипт‏ ‎(«get_strtriush»), ‎который‏ ‎извлекает ‎и‏ ‎выполняет ‎основную ‎полезную ‎нагрузку ‎бота‏ ‎(«Chalubo»‏ ‎или ‎«mips.elf»).

📌Выполнение: Вредоносная‏ ‎программа ‎запускается‏ ‎в ‎памяти, ‎удаляет ‎файлы ‎с‏ ‎диска‏ ‎и‏ ‎изменяет ‎имя‏ ‎процесса, ‎чтобы‏ ‎избежать ‎обнаружения.

📌Взаимодействие:

📌Серверы‏ ‎C2: выполняется‏ ‎циклический ‎просмотр‏ ‎фиксированных ‎C2s, ‎загрузка ‎следующего ‎этапа‏ ‎и ‎его‏ ‎расшифровка‏ ‎с ‎помощью ‎ChaCha20.

📌Закрепление:‏ ‎Новая ‎версия‏ ‎не ‎поддерживает ‎закрепление ‎на‏ ‎зараженных‏ ‎устройствах.


Вредоносная ‎программа‏ ‎Hiatus ‎RAT

📌 Порт‏ ‎8816: HiatusRAT ‎проверяет ‎наличие ‎существующих ‎процессов‏ ‎на‏ ‎порту ‎8816,‏ ‎отключает ‎все‏ ‎существующие ‎службы ‎и ‎открывает ‎прослушиватель‏ ‎на‏ ‎этом‏ ‎порту.

📌 Сбор ‎информации:‏ ‎Собирает ‎информацию‏ ‎о ‎хосте‏ ‎и‏ ‎отправляет ‎ее‏ ‎на ‎сервер ‎C2 ‎для ‎отслеживания‏ ‎статуса ‎заражения‏ ‎и‏ ‎регистрации ‎информации ‎о‏ ‎скомпрометированном ‎хосте.

📌 Первоначальный‏ ‎доступ: Путем ‎использования ‎уязвимостей ‎во‏ ‎встроенном‏ ‎ПО ‎маршрутизатора‏ ‎или ‎с‏ ‎использованием ‎ненадежных ‎учетных ‎данных.

📌 Закрепление: используется ‎скрипт‏ ‎bash‏ ‎для ‎загрузки‏ ‎и ‎выполнения‏ ‎HiatusRAT ‎и ‎двоичного ‎файла ‎для‏ ‎перехвата‏ ‎пакетов



Лаборатория‏ ‎Black ‎Lotus‏ ‎обнаружила ‎новые‏ ‎вредоносные ‎кампании‏ ‎на‏ ‎маршрутизаторах

📌Black ‎Lotus‏ ‎Labs, ‎исследовательская ‎группа ‎по ‎изучению‏ ‎угроз ‎в‏ ‎Lumen‏ ‎Technologies ‎(ранее ‎CenturyLink),‏ ‎недавно ‎обнаружила‏ ‎две ‎крупные ‎кампании ‎вредоносных‏ ‎программ,‏ ‎нацеленных ‎на‏ ‎маршрутизаторы ‎и‏ ‎сетевые ‎устройства ‎разных ‎производителей. ‎Эти‏ ‎открытия‏ ‎свидетельствуют ‎о‏ ‎растущих ‎угрозах,‏ ‎с ‎которыми ‎сталкивается ‎инфраструктура ‎Интернета,‏ ‎и‏ ‎о‏ ‎необходимости ‎совершенствования‏ ‎методов ‎обеспечения‏ ‎безопасности.


Кампания ‎Hiatus

📌В‏ ‎марте‏ ‎2023 ‎года‏ ‎Black ‎Lotus ‎Labs ‎сообщила ‎о‏ ‎проведении ‎комплексной‏ ‎кампании‏ ‎под ‎названием ‎«Hiatus»,‏ ‎которая ‎с‏ ‎июня ‎2022 ‎года ‎была‏ ‎нацелена‏ ‎на ‎маршрутизаторы‏ ‎бизнес-класса, ‎в‏ ‎первую ‎очередь ‎на ‎модели ‎DrayTek‏ ‎Vigor‏ ‎2960 ‎и‏ ‎3900.

📌Злоумышленники ‎использовали‏ ‎маршрутизаторы ‎DrayTek ‎с ‎истекшим ‎сроком‏ ‎службы‏ ‎для‏ ‎обеспечения ‎долговременного‏ ‎сохранения ‎без‏ ‎обнаружения.

📌В ‎Интернете‏ ‎было‏ ‎опубликовано ‎около‏ ‎4100 ‎уязвимых ‎моделей ‎DrayTek, ‎при‏ ‎этом ‎Hiatus‏ ‎скомпрометировал‏ ‎примерно ‎100 ‎из‏ ‎них ‎в‏ ‎Латинской ‎Америке, ‎Европе ‎и‏ ‎Северной‏ ‎Америке.

📌После ‎заражения‏ ‎вредоносная ‎программа‏ ‎перехватывает ‎данные, ‎передаваемые ‎через ‎зараженный‏ ‎маршрутизатор,‏ ‎и ‎внедряет‏ ‎троянскую ‎программу‏ ‎удаленного ‎доступа ‎(RAT) ‎под ‎названием‏ ‎«HiatusRAT»,‏ ‎которая‏ ‎может ‎передавать‏ ‎вредоносный ‎трафик‏ ‎в ‎дополнительные‏ ‎сети.

📌Black‏ ‎Lotus ‎Labs‏ ‎отключила ‎маршрутизацию ‎серверов ‎управления ‎и‏ ‎разгрузки ‎(C2)‏ ‎на‏ ‎глобальной ‎магистрали ‎Lumen‏ ‎и ‎добавила‏ ‎индикаторы ‎компрометации ‎(IOCs) ‎в‏ ‎свою‏ ‎систему ‎быстрой‏ ‎защиты ‎от‏ ‎угроз, ‎чтобы ‎блокировать ‎угрозы ‎до‏ ‎того,‏ ‎как ‎они‏ ‎достигнут ‎сетей‏ ‎клиентов.


Кампания ‎Pumpkin ‎Eclipse

📌В ‎конце ‎октября‏ ‎2023‏ ‎года‏ ‎лаборатория ‎Black‏ ‎Lotus ‎Labs‏ ‎исследовала ‎массовый‏ ‎сбой,‏ ‎затронувший ‎определенные‏ ‎модели ‎шлюзов ‎ActionTec ‎(T3200s ‎и‏ ‎T3260s) ‎и‏ ‎Sagemcom‏ ‎(F5380) ‎в ‎сети‏ ‎одного ‎интернет-провайдера.

📌Более‏ ‎600 ‎000 ‎устройств ‎отображали‏ ‎красный‏ ‎индикатор, ‎указывающий‏ ‎на ‎вероятную‏ ‎проблему ‎с ‎повреждением ‎встроенного ‎ПО.

📌Атака‏ ‎была‏ ‎ограничена ‎определенным‏ ‎номером ‎автономной‏ ‎системы ‎(ASN), ‎затронув ‎около ‎49%‏ ‎устройств‏ ‎в‏ ‎этой ‎сети,‏ ‎подвергшихся ‎воздействию.

📌Лаборатории‏ ‎Black ‎Lotus‏ ‎обнаружили‏ ‎многоступенчатый ‎механизм‏ ‎заражения, ‎который ‎позволил ‎установить ‎Chalubo‏ ‎RAT ‎—‏ ‎ботнет,‏ ‎нацеленный ‎на ‎шлюзы‏ ‎SOHO ‎и‏ ‎устройства ‎Интернета ‎вещей.

📌Black ‎Lotus‏ ‎Labs‏ ‎добавила ‎IOC‏ ‎в ‎свою‏ ‎аналитическую ‎ленту ‎threat ‎intelligence, ‎пополнив‏ ‎портфель‏ ‎подключенных ‎средств‏ ‎безопасности ‎Lumen.

Читать: 5+ мин
logo Overkill Security

Firmware Overwrite: The New Trend in Router Fashion

The ‎Chalubo‏ ‎RAT ‎malware ‎campaign ‎targeted ‎specific‏ ‎models ‎of‏ ‎Actiontec‏ ‎and ‎Sagemcom ‎routers,‏ ‎primarily ‎affecting‏ ‎Windstream’s ‎network. ‎The ‎malware‏ ‎used‏ ‎brute-force ‎attacks‏ ‎to ‎gain‏ ‎access, ‎executed ‎payloads ‎in ‎memory‏ ‎to‏ ‎avoid ‎detection,‏ ‎and ‎communicated‏ ‎with ‎C2 ‎servers ‎using ‎encrypted‏ ‎channels.‏ ‎The‏ ‎attack ‎led‏ ‎to ‎a‏ ‎significant ‎outage,‏ ‎requiring‏ ‎the ‎replacement‏ ‎of ‎over ‎600,000 ‎routers, ‎highlighting‏ ‎the ‎need‏ ‎for‏ ‎robust ‎security ‎measures‏ ‎and ‎regular‏ ‎updates ‎to ‎prevent ‎such‏ ‎incidents.

Targets

ISP‏ ‎Impact:

📌Windstream: The ‎primary‏ ‎ISP ‎affected,‏ ‎with ‎over ‎600,000 ‎routers ‎rendered‏ ‎inoperable‏ ‎between ‎October‏ ‎25 ‎and‏ ‎October ‎27, ‎2023.

📌Affected ‎Models: Actiontec ‎T3200,‏ ‎T3260,‏ ‎and‏ ‎Sagemcom ‎F5380.

📌Impact: Approximately‏ ‎49% ‎of‏ ‎the ‎ISP’s‏ ‎modems‏ ‎were ‎taken‏ ‎offline, ‎requiring ‎hardware ‎replacements.

Global ‎Impact:

📌Botnet‏ ‎Activity: From ‎September‏ ‎to‏ ‎November ‎2023, ‎Chalubo‏ ‎botnet ‎panels‏ ‎interacted ‎with ‎up ‎to‏ ‎117,000‏ ‎unique ‎IP‏ ‎addresses ‎over‏ ‎a ‎30-day ‎period.

📌Geographic ‎Distribution: Most ‎infections‏ ‎were‏ ‎in ‎the‏ ‎US, ‎Brazil,‏ ‎and ‎China.

📌Operational ‎Silos: 95% of ‎bots ‎communicated‏ ‎with‏ ‎only‏ ‎one ‎control‏ ‎panel, ‎indicating‏ ‎distinct ‎operational‏ ‎silos.


Affected‏ ‎Routers

📌Targeted ‎Models: End-of-life‏ ‎business-grade ‎routers.

📌Actiontec ‎T3200 ‎and ‎T3260‏ ‎are ‎VDSL2‏ ‎wireless‏ ‎AC ‎gateway ‎routers‏ ‎approved ‎by‏ ‎Windstream.

📌Sagemcom ‎F5380 ‎is ‎a‏ ‎WiFi6‏ ‎(802.11ax) ‎router.

📌DrayTek‏ ‎Vigor ‎Models‏ ‎2960 ‎and ‎3900


Malware: ‎Chalubo ‎RAT

📌First‏ ‎Spotted: August‏ ‎2018 ‎by‏ ‎Sophos ‎Labs.

📌Primary‏ ‎Functions: DDoS ‎attacks, ‎execution ‎of ‎Lua‏ ‎scripts,‏ ‎and‏ ‎evasion ‎techniques‏ ‎using ‎ChaCha20‏ ‎encryption.

Technical ‎Details:

📌Initial‏ ‎Infection: Uses‏ ‎brute-force ‎attacks‏ ‎on ‎SSH ‎servers ‎with ‎weak‏ ‎credentials ‎(e.g.,‏ ‎root:‏ ‎admin).

📌Payload ‎Delivery:

📌First ‎Stage: A‏ ‎bash ‎script‏ ‎(«get_scrpc») ‎fetches ‎a ‎second‏ ‎script‏ ‎(«get_strtriiush») ‎which‏ ‎retrieves ‎and‏ ‎executes ‎the ‎primary ‎bot ‎payload‏ ‎(«Chalubo»‏ ‎or ‎«mips.elf»).

📌Execution: The‏ ‎malware ‎runs‏ ‎in ‎memory, ‎wipes ‎files ‎from‏ ‎the‏ ‎disk,‏ ‎and ‎changes‏ ‎the ‎process‏ ‎name ‎to‏ ‎avoid‏ ‎detection.

📌Communication:

📌C2 ‎Servers: Cycles‏ ‎through ‎hardcoded ‎C2s, ‎downloads ‎the‏ ‎next ‎stage,‏ ‎and‏ ‎decrypts ‎it ‎using‏ ‎ChaCha20.

📌Persistence: The ‎newer‏ ‎version ‎does ‎not ‎maintain‏ ‎persistence‏ ‎on ‎infected‏ ‎devices.


HiatusRAT ‎Malware

📌Port‏ ‎8816: HiatusRAT ‎checks ‎for ‎existing ‎processes‏ ‎on‏ ‎port ‎8816,‏ ‎kills ‎any‏ ‎existing ‎service, ‎and ‎opens ‎a‏ ‎listener‏ ‎on‏ ‎this ‎port.

📌Information‏ ‎Collection: Collects ‎host-based‏ ‎information ‎and‏ ‎sends‏ ‎it ‎to‏ ‎the ‎C2 ‎server ‎to ‎track‏ ‎the ‎infection‏ ‎status‏ ‎and ‎log ‎information‏ ‎about ‎the‏ ‎compromised ‎host.

📌Initial ‎Access: Through ‎exploiting‏ ‎vulnerabilities‏ ‎in ‎router‏ ‎firmware ‎or‏ ‎using ‎weak ‎credentials.

📌Persistence: Uses ‎a ‎bash‏ ‎script‏ ‎to ‎download‏ ‎and ‎execute‏ ‎HiatusRAT ‎and ‎the ‎packet-capture ‎binary

📌Prebuilt‏ ‎Functions:

📌config: Loads‏ ‎new‏ ‎configuration ‎values‏ ‎from ‎the‏ ‎C2 ‎node.

📌shell: Spawns‏ ‎a‏ ‎remote ‎shell‏ ‎on ‎the ‎infected ‎host.

📌file: Allows ‎reading,‏ ‎deleting, ‎or‏ ‎uploading‏ ‎files ‎to ‎the‏ ‎C2.

📌executor: Downloads ‎and‏ ‎executes ‎files ‎from ‎the‏ ‎C2.

📌script: Executes‏ ‎scripts ‎supplied‏ ‎by ‎the‏ ‎C2.

📌tcp_forward: Forwards ‎TCP ‎data ‎from ‎a‏ ‎specified‏ ‎port ‎to‏ ‎another ‎IP‏ ‎address ‎and ‎port.

📌socks5: Sets ‎up ‎a‏ ‎SOCKS5‏ ‎proxy‏ ‎on ‎the‏ ‎compromised ‎router.

📌quit: Ceases‏ ‎execution ‎of‏ ‎the‏ ‎malware.

📌Packet ‎Capture: A‏ ‎variant ‎of ‎tcpdump ‎is ‎deployed‏ ‎to ‎capture‏ ‎and‏ ‎monitor ‎router ‎traffic‏ ‎on ‎ports‏ ‎associated ‎with ‎email ‎and‏ ‎file-transfer‏ ‎communications



Black ‎Lotus‏ ‎Labs ‎Uncovers‏ ‎New ‎Router ‎Malware ‎Campaigns

📌Black ‎Lotus‏ ‎Labs,‏ ‎the ‎threat‏ ‎research ‎team‏ ‎at ‎Lumen ‎Technologies ‎(formerly ‎CenturyLink),‏ ‎has‏ ‎recently‏ ‎uncovered ‎two‏ ‎major ‎malware‏ ‎campaigns ‎targeting‏ ‎routers‏ ‎and ‎networking‏ ‎devices ‎from ‎different ‎manufacturers. ‎These‏ ‎discoveries ‎highlight‏ ‎the‏ ‎increasing ‎threats ‎faced‏ ‎by ‎internet‏ ‎infrastructure ‎and ‎the ‎need‏ ‎for‏ ‎better ‎security‏ ‎practices.

The ‎Hiatus‏ ‎Campaign

📌In ‎March ‎2023, ‎Black ‎Lotus‏ ‎Labs‏ ‎reported ‎on‏ ‎a ‎complex‏ ‎campaign ‎called ‎«Hiatus» ‎that ‎had‏ ‎been‏ ‎targeting‏ ‎business-grade ‎routers,‏ ‎primarily ‎DrayTek‏ ‎Vigor ‎models‏ ‎2960‏ ‎and ‎3900,‏ ‎since ‎June ‎2022.

📌The ‎threat ‎actors‏ ‎exploited ‎end-of-life‏ ‎DrayTek‏ ‎routers ‎to ‎establish‏ ‎long-term ‎persistence‏ ‎without ‎detection.

📌Around ‎4,100 ‎vulnerable‏ ‎DrayTek‏ ‎models ‎were‏ ‎exposed ‎on‏ ‎the ‎internet, ‎with ‎Hiatus ‎compromising‏ ‎approximately‏ ‎100 ‎of‏ ‎them ‎across‏ ‎Latin ‎America, ‎Europe, ‎and ‎North‏ ‎America.

📌Upon‏ ‎infection,‏ ‎the ‎malware‏ ‎intercepts ‎data‏ ‎transiting ‎the‏ ‎infected‏ ‎router ‎and‏ ‎deploys ‎a ‎Remote ‎Access ‎Trojan‏ ‎(RAT) ‎called‏ ‎«HiatusRAT»‏ ‎that ‎can ‎proxy‏ ‎malicious ‎traffic‏ ‎to ‎additional ‎networks.

📌Black ‎Lotus‏ ‎Labs‏ ‎has ‎null-routed‏ ‎the ‎Hiatus‏ ‎command-and-control ‎(C2) ‎servers ‎across ‎Lumen’s‏ ‎global‏ ‎backbone ‎and‏ ‎added ‎the‏ ‎indicators ‎of ‎compromise ‎(IoCs) ‎to‏ ‎their‏ ‎Rapid‏ ‎Threat ‎Defense‏ ‎system ‎to‏ ‎block ‎threats‏ ‎before‏ ‎reaching ‎customer‏ ‎networks.

The ‎Pumpkin ‎Eclipse ‎Campaign

📌In ‎late‏ ‎October ‎2023,‏ ‎Black‏ ‎Lotus ‎Labs ‎investigated‏ ‎a ‎massive‏ ‎outage ‎affecting ‎specific ‎ActionTec‏ ‎(T3200s‏ ‎and ‎T3260s)‏ ‎and ‎Sagemcom‏ ‎(F5380) ‎gateway ‎models ‎within ‎a‏ ‎single‏ ‎internet ‎service‏ ‎provider’s ‎network.

📌Over‏ ‎600,000 ‎devices ‎displayed ‎a ‎static‏ ‎red‏ ‎light,‏ ‎indicating ‎a‏ ‎likely ‎firmware‏ ‎corruption ‎issue.

📌The‏ ‎attack‏ ‎was ‎confined‏ ‎to ‎a ‎specific ‎Autonomous ‎System‏ ‎Number ‎(ASN),‏ ‎impacting‏ ‎around ‎49% ‎of‏ ‎exposed ‎devices‏ ‎in ‎that ‎network.

📌Black ‎Lotus‏ ‎Labs‏ ‎discovered ‎a‏ ‎multi-stage ‎infection‏ ‎mechanism ‎that ‎installed ‎the ‎Chalubo‏ ‎RAT,‏ ‎a ‎botnet‏ ‎targeting ‎SOHO‏ ‎gateways ‎and ‎IoT ‎devices.

📌Black ‎Lotus‏ ‎Labs‏ ‎has‏ ‎added ‎the‏ ‎IoCs ‎from‏ ‎this ‎campaign‏ ‎and‏ ‎the ‎Chalubo‏ ‎malware ‎to ‎their ‎threat ‎intelligence‏ ‎feed, ‎fueling‏ ‎Lumen’s‏ ‎Connected ‎Security ‎portfolio.


Обновления проекта

Метки

хроникикибербезопасника 143 хроникикибербезопасникаpdf 50 новости 47 заметки 38 АНБ 27 разбор 26 fbi 25 nsa 25 фбр 25 adapt tactics 11 LOTL 11 уязвимость 11 кибер атаки 10 lolbin 9 lolbins 9 EdgeRouters 8 ubiquiti 8 дайджест 8 исследование 8 модель зрелости 8 IoT 7 кибер безопасность 7 soho 6 вредоносный код 6 Ransomware 5 криминалистика 5 фишинг 5 authToken 4 BYOD 4 MDM 4 OAuth 4 медицина 4 распаковка 4 IoMT 3 malware 3 аутентификация 3 Интернет вещей 3 потребление энергии 3 AnonSudan 2 console architecture 2 cve 2 Google 2 Living Off the Land 2 MITM 2 mqtt 2 Velociraptor 2 vmware 2 windows 2 антивирус 2 архитектура консолей 2 видео 2 Винтаж 2 ИИ 2 инцидент 2 инциденты 2 ключи доступа 2 машинное обучение 2 переполнение буфера 2 Реагирование на инциденты 2 ретро 2 1981 1 8bit 1 ADCS 1 ai 1 airwatch 1 AlphV 1 AMSI 1 android 1 Android-устройства 1 Android15 1 AntiPhishStack 1 Apple 1 Atlassian 1 AttackGen 1 av 1 BatBadBut 1 BianLian 1 bite 1 bitlocker 1 bitlocker bypass 1 Black Lotus Labs 1 blackberry 1 blizzard 1 BucketLoot 1 Buffer Overflow 1 BYOVD 1 checkpoint 1 chisel 1 cpu 1 CVE-2023-22518 1 CVE-2023-35080 1 CVE-2023-38043 1 CVE-2023-38543 1 CVE-2024-0204 1 CVE-2024-21111 1 CVE-2024-21345 1 cve-2024-21447 1 CVE-2024-24919 1 CVE-2024-26218 1 cve-2024-27129 1 cve-2024-27130 1 cve-2024-27131 1 cve-2024-3400 1 cvss 1 Cyber Toufan Al-Aqsa 1 D-Link 1 dark pink apt 1 dcrat 1 DevSecOps 1 Dex 1 DOS 1 EDR 1 EntraID 1 ESC8 1 Event ID 4663 1 Event ID 4688 1 Event ID 5145 1 Evilginx 1 EvilLsassTwin 1 FBI IC3 1 FIDO2 1 filewave 1 Firebase 1 fortra goanywhere mft 1 fuxnet 1 game console 1 GeminiNanoAI 1 genzo 1 go 1 GoogleIO2024 1 GooglePlayProtect 1 GoPhish 1 gpu 1 ICS 1 ICSpector 1 IDA 1 jazzer 1 jvm 1 KASLR 1 KillNet 1 LeftOverLocals 1 Leviathan 1 LG SmartTV 1 lockbit 1 LSASS 1 m-trends 1 Mallox 1 MalPurifier 1 mandiant 1 MediHunt 1 Meta Pixel 1 mobileiron 1 nes 1 nexus 1 Nim 1 Nimfilt 1 NtQueryInformationThread 1 OFGB 1 panos 1 PingFederate 1 PlayIntegrityAPI 1 PlayStation 1 playstation 2 1 playstation 3 1 plc 1 ps2 1 ps3 1 PulseVPN 1 qcsuper 1 qemu 1 Raytracing 1 rodrigo copetti 1 rust 1 Sagemcom 1 sandworm 1 SharpADWS 1 SIEM 1 Siemens 1 skimming 1 Smart Devices 1 snes 1 SSO 1 TA427 1 TA547 1 TDDP 1 Telegram 1 telerik 1 TeleTracker 1 TEMP.Periscope 1 Terminator 1 threat intelligence 1 threat intelligence analysis 1 tp-link 1 UserManagerEoP 1 virtualbox 1 VPN 1 webos 1 What2Log 1 Windows 11 1 Windstream 1 WSUS 1 wt-2024-0004 1 wt-2024-0005 1 wt-2024-0006 1 xbox 1 xbox 360 1 xbox original 1 xss 1 Yubico 1 Z80A 1 ZXSpectrum 1 Анализ мобильных сетей 1 анализ поведения 1 анализ угроз 1 анонс 1 антифишинг 1 безопасность 1 Безопасность телекоммуникаций 1 биокибербезопасность 1 биометрия 1 ботнет 1 ВВС США 1 веб аутентификация 1 великобритания 1 ВМС 1 Геймификация 1 Демосцена 1 дизассемблер 1 женщины 1 игровые консоли 1 имитация угроз 1 Исследование сетей 5G 1 категории контента 1 кибер операции 1 китай 1 контент 1 кража данных 1 Лом 1 модели угроз 1 модификация реестра 1 нко 1 обучение сотрудников 1 осведомленность о безопасности 1 перехват радиокадров 1 Платные уровни 1 Подкаст 1 Протокол Qualcomm Diag 1 прошивка 1 риск 1 роутер 1 роутеры 1 сетевой анализ 1 скам 1 софт 1 удаление рекламы 1 управление рисками 1 устойчивость к фишингу 1 утечка 1 утилиты 1 учётные данные 1 Уявзимость 1 фаззер 1 фрод 1 ЦРУ 1 шеллкод 1 Больше тегов

Фильтры

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048