聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这起神秘攻击发生在2023年10月25日至27日,影响美国的一家互联网服务提供商,被 Lumen Technologies Black Lotus Labs 团队命名为 “Pumpkin Eclipse”,它影响由该互联网服务提供商发布的三款路由器机型:ActionTec T3200、ActionTec T3260和Sagemcom。
该研究团队发布技术报告提到,“该事件发生在10月25日至27日的72小时内,导致受影响设备永久不可运营,并要求硬件替换。”该事件影响重大,不仅是因为它导致该互联网服务提供商的自治系统编号 (ASN) 的49%的所有调制解调器被突然删除。虽然该互联网服务提供商的名称并未披露,但证据表明它是 Windstream。该公司在同一时间段经历宕机,用户报告称受影响调制解调器上显示“持续红灯”。
而经过几个月后,研究人员披露了一款商用远程访问木马 (RAT) Chalubo,它是由 Sophos 公司在2018年10月率先记录的一款隐秘恶意软件,攻击者不使用自定义工具集的目的似乎是让事件归因更加难以实现。
研究人员提到,“Chalubo 为所有主流 SOHO/IoT 内核设计payload,预制功能执行DDoS攻击并可执行发送到该僵尸的任何 Lua 脚本。我们怀疑 Lua 功能可能被用于检索该破坏性 payload。”
话虽如此,目前尚不清楚用于攻陷该路由器的初始访问方法,尽管从理论上来讲可能涉及弱凭据或利用已暴露的管理接口。获得成功立足点后,该感染链会释放 shell 脚本,从而为从外部服务器检索并启动 Chalubo 的加载器铺路。该破坏性 Lua 脚本模版尚处于未知状态。
这起攻击引人注目的地方在于它仅针对单个ASN,而不是平常看到的针对特定的路由器机型或常见漏洞,因此该ASN遭针对性攻击,而目前尚不清楚攻击者的动机。研究人员提到,“从所影响的单元数量而言,这次事件是前所未有的。我们从未发现攻击者要取代超过60万台路由器。另外,这种攻击类型此前仅发生过一次,那就是 AcidRain 被用作军事入侵的先兆。”
TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞
思科提醒注意Small Business路由器中的XSS漏洞
https://thehackernews.com/2024/05/mysterious-cyber-attack-takes-down.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~