ClickCease 카마로 드래곤, TP-Link 공유기를 악용하다

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

카마로 드래곤, TP-Link 공유기를 악용하다

2023년 6월 6일 TuxCare 홍보팀

Check Point Research는 특정 TP-Link 라우터 모델을 손상시키기 위해 맞춤형 임플란트를 사용하는 중국 국가 지원 지능형 지속 위협(APT) 그룹인 Camaro Dragon의 활동에 대한 보고서를 발표했습니다.

연구원들은 카마로 드래곤의 기법을 조사하는 과정에서 카마로 드래곤의 유해한 공격에 사용된 파일들을 발견했습니다. 특히, 이 파일 중 두 개는 2014년에 처음 출시된 WR940 라우터 모델에 대한 TP-Link 펌웨어 이미지였습니다. 이 임플란트 파일은 특히 유럽 외교 기관을 겨냥한 집중 공격에 사용된 것이 분명합니다.

Check Point는 불법 파일을 TP-Link WR940 공유기의 정품 펌웨어 이미지와 꼼꼼하게 비교하여 중요한 파일 시스템 변경 사항을 발견했습니다. 4개의 파일이 펌웨어에 추가되었고 2개의 기존 파일이 업데이트되어 악성 임플란트를 완벽하게 실행할 수 있었습니다.

공격자는 라우터의 웹 인터페이스를 통해 액세스할 수 있는 펌웨어의 유효한 구성 요소인 SoftwareUpgradeRpm.htm 파일을 수정했습니다. 변경된 버전은 기본적으로 펌웨어 업데이트 옵션을 숨기므로 관리자는 수동 업그레이드를 실행할 수 없습니다.두 번째 발견은 운영 체제 시작 절차의 일부인 /etc/rc.d/rcS 파일을 변조하는 것입니다. 위협 행위자는 펌웨어의 파일 시스템 내에 3개의 추가 파일을 실행하여 시스템이 재시작된 후에도 임플란트의 지속성을 보장했습니다.

부팅 시퀀스 중에 실행되는 파일 중 하나는 포트 14444에서 비밀번호로 보호되는 바인드 셸 역할을 하는 /usr/bin/shell입니다. 즉, 셸에 액세스하려면 올바른 비밀번호를 제공해야 합니다. 특히, 파일을 신속하게 검사한 결과 일반 텍스트로 저장된 비밀번호(J2)3#4G@Iie)를 발견할 수 있었습니다.

또 다른 관심 파일인 /usr/bin/timer는 공격자에게 추가적인 지속성 계층의 역할을 합니다. 이 파일의 유일한 목적은 /usr/bin/udhcp가 계속 작동할 수 있도록 하는 것이며, 후자의 파일이 주요 임플란트 역할을 합니다. 주요 악성 임플란트인 /usr/bin/udhcp는 백그라운드에서 데몬으로 작동하며 공격자에게 원격 셸 기능, 파일 전송 기능 및 터널링의 세 가지 주요 기능을 제공합니다.

또한 /usr/bin/sheel 파일은 감염된 디바이스의 별도 파티션에 저장하는 C2(명령 및 제어) 구성을 작성하고 읽는 데 중요한 역할을 합니다. 이 파일은 차단 장치와 직접 상호 작용함으로써 탐지를 회피하고 관리자의 통지를 피하는 것을 목표로 합니다.

일단 실행되면 udhcp 임플란트는 사용자 및 시스템 이름, 운영 체제 버전 및 시간, CPU 아키텍처 및 개수, 총 RAM, IP 및 MAC 주소, 지원되는 임플란트 기능(원격 셸, 파일 전송, 터널링), 활성 연결 수 등 다양한 데이터 포인트를 적극적으로 수집하여 C2 서버로 전송합니다.

Check Point Research는 전송된 데이터에 CPU 아키텍처와 지원되는 기능이 포함되어 있다는 것은 공격자가 다른 장치와 기능에 맞게 조정된 다른 버전의 멀웨어를 가지고 있을 가능성을 시사한다고 합니다.

이 글의 출처는 테크리퍼블릭의 기사입니다.

요약
카마로 드래곤, TP-Link 공유기를 악용하다
기사 이름
카마로 드래곤, TP-Link 공유기를 악용하다
설명
체크포인트 리서치는 중국 정부가 후원하는 지능형 지속적 위협 그룹인 카마로 드래곤의 활동에 대한 보고서를 발표했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기