一个高级黑客组织被发现针对东南亚的边缘路由器发起攻击,部署了一个自定义的Linux植入工具,使他们能够深度控制网络流量。该攻击行动被评定为严重性极高,其影响范围远远超出了最初被入侵的设备。
植入物一旦进入,便通过加密通道悄悄地连接到攻击者控制的服务器,这使得标准安全工具很难检测到该活动。
Qiita的分析师识别了此次入侵,并指出此次行动目标锁定在网络基础设施而非单个计算机。
通过拥有路由器,攻击者就能监控并操控通过路由器连接的每一个设备。这使得这种威胁比普通恶意软件感染更为危险。
这次行动尤其令人担忧的是其双重关注点。攻破路由器的同一团队还在同一网络内的Windows电脑上部署了单独的黑客工具,采用了DLL侧载技术。
两条攻击流共享相同的命令基础设施,确认整个行动由单一且协调良好的威胁组织操控。
植入物如何接管边缘路由器
一旦 router.elf 安装并运行,它会通过加密的 HTTPS 流量在 443 端口上与攻击者服务器建立持久连接。
为了避免被 DNS 监控工具发现,它会通过 Cloudflare 的 DNS over HTTPS 服务进行域名查询,该服务将请求包裹在看起来正常的网络流量中。这是一种有意规避的技巧,帮助植入物长时间保持隐藏。
该恶意软件还通过内置的Linux工具iptables直接在路由器上植入防火墙规则。这些规则会悄无声地将路由器后方所有设备的所有DNS查询重定向到攻击者控制的服务器。
这意味着黑客可以操控人们以为访问的网站,拦截软件更新,并利用名为evil_fix的动态列表锁定特定目的地。
在主植入体旁边安装了一个名为client_rc_start的次级后门,以确保即使主载荷被移除也能继续访问。
影响扩展到Windows终端
攻击并未止步于路由器层面。该威胁组织通过DLL侧载植入Cobalt Strike Beacon,将影响力扩展到同一网络内的Windows计算机。
一个名为version.dll的恶意文件被丢弃在CrashReport.exe下的文件夹中,当合法进程运行时,它会无意中加载攻击者的负载。
信标连接回与路由器植入体相同的命令控制域,使用相同的网页流量模式、cookie标记,以及每次签到间隔50秒的睡眠时间。
这两种攻击工具的紧密配合证明了它们都不是孤立部署的。同一个攻击者控制着两者,作为一个协调间谍行动的一部分协同作战。
技术报告:
《针对东南亚边缘网络基础设施的入侵分析》
https://qiita.com/Y4er/items/0b6071745e4b7b240b3e
新闻链接:
https://cybersecuritynews.com/china-linked-hackers-target-southeast-asian-edge-routers/