Η κινέζικη ομάδα hacking APT31 χρησιμοποιεί το Rekoobe malware για να στοχεύσει ευάλωτους Linux servers.
Είναι ενεργή από το 2015, και το 2018 χρησιμοποιήθηκαν ενημερωμένες εκδόσεις του Rekoobe για να στοχεύουν διακομιστές Linux, καθώς η αρχιτεκτονική της είναι x86, x64 και SPARC.
Το Κέντρο Αντιμετώπισης Εκτάκτων Αναγκών (ASEC) μοιράστηκε διάφορες παραλλαγές του Rekoobe και οργάνωσε πληροφορίες σχετικά με το κακόβουλο λογισμικό Rekoobe που χρησιμοποιείται σε επιθέσεις με στόχο εγχώριες εταιρείες στο τελευταίο του άρθρο.
Δείτε επίσης: Το νέο ελάττωμα πυρήνα StackRot Linux επιτρέπει την κλιμάκωση των προνομίων
Οι περισσότεροι στόχοι είναι απαρχαιωμένοι διακομιστές Linux ή βρίσκονται σε λειτουργία με ακατάλληλες ρυθμίσεις, ενώ εμπλέκονται και σε επιθέσεις στην αλυσίδα εφοδιασμού.
Ανάλυση της παραλλαγής Rekoobe:
- MD5: 8921942fb40a4d417700cfe37cce1ce7
- C&C server: resolv.ctmailer[.]net:80 (103.140.186.32)
- Download address: hxxp://103.140.186[.]32/mails
Το Rekoobe, που δημιουργήθηκε με τη χρήση του κώδικα ανοιχτού κώδικα Tiny shell, χρησιμοποιεί τη συνάρτηση strcpy() για να αλλάξει το όνομα της διεργασίας κατά την εκτέλεση του προγράμματος, καθιστώντας το δύσκολο να αναγνωριστεί από τους χρήστες.
Δεν διαθέτει καμία επιλογή γραμμής εντολών για τη λήψη της διεύθυνσης ή του κωδικού πρόσβασης του C&C server.
Δείτε επίσης: JumpCloud: Επαναφέρει τα admin API keys εξαιτίας ενός “συνεχιζόμενου περιστατικού”
Το Rekoobe παράγει ένα κλειδί AES-128 χρησιμοποιώντας τον αλγόριθμο HMAC-SHA1 και κρυπτογραφεί τα δεδομένα επικοινωνίας με τον C&C server χρησιμοποιώντας το εν λόγω κλειδί.
Αρχικά, λαμβάνονται δεδομένα μεγέθους 0x28 από τον διακομιστή C&C, στη συνέχεια χωρίζονται σε δύο byte 0x14 και χρησιμοποιούνται ως IV κατά την προετοιμασία του περιβάλλοντος HMAC SHA1.
Κατά τη διαδικασία αρχικοποίησης, χρησιμοποιείται και ένα hard-coded password string “0p;/9ol.” εκτός από ένα IV, το οποίο είναι κάθε 0x14 bytes που λαμβάνεται.
Οι παραγόμενες τιμές HMAC SHA1 είναι κλειδιά AES-128, τα οποία χρησιμοποιούνται για την κρυπτογράφηση και την αποκρυπτογράφηση δεδομένων κατά τη μετάδοσή τους από και προς τον C&C server, αντίστοιχα.
Επιπλέον, δεδομένα για την επαλήθευση της ακεραιότητας 0x10 bytes λαμβάνονται από το C&C, αποκωδικοποιούνται με το κλειδί AES-128 που ορίστηκε παραπάνω και υποβάλλονται σε επεξεργασία μέσω ενός XOR.
Τα δεδομένα που θα παραδοθούν στη συνέχεια χρησιμοποιούνται για την επαλήθευση της ακεραιότητας- είναι 0x10 bytes και πρέπει να έχουν την ίδια τιμή.
Μόλις ολοκληρωθεί η διαδικασία επαλήθευσης της ακεραιότητας, τα ίδια δεδομένα ακεραιότητας 0x10 bytes μεταδίδονται στον C&C server. Κατά την αποστολή των δεδομένων, αυτά κρυπτογραφούνται και μεταδίδονται χρησιμοποιώντας το κλειδί AES128 που δημιουργήθηκε με την τιμή HMAC SHA1 που δημιουργήθηκε παραπάνω.
Τέλος, απλές εντολές, οι οποίες περιέχονται σε ένα byte, εκτελούνται για το ανέβασμα αρχείων, το κατέβασμα αρχείων και το reverse shell.
Ένα άλλο δείγμα του Rekoobe ανοίγει μια θύρα με τη μορφή bind shell και περιμένει μια σύνδεση από τον C&C server, καθώς το Tiny SHell υποστηρίζει και τα δύο.
Δείτε επίσης: Η Cisco προειδοποιεί για σφάλμα που επιτρέπει στους εισβολείς να παραβιάζουν το traffic encryption
Το Rekoobe υποτίθεται ότι έχει ξεχωριστό κατασκευαστή- ωστόσο, συχνά εμφανίζεται μια τυχαία συμβολοσειρά κωδικού πρόσβασης, “replace with your password”, η οποία φαίνεται να είναι το default string.
Ο εισβολέας χρησιμοποιεί διαφορετικό κακόβουλο κώδικα για κάθε επίθεση. Σε αντίθεση με τους κωδικούς πρόσβασης στους οποίους χρησιμοποιείται μια διαφορετική συμβολοσειρά κάθε φορά, τα δεδομένα που χρησιμοποιούνται για την επαλήθευση ακεραιότητας χαρακτηρίζονται από το γεγονός ότι “58 90 AE 86 F1 B9 1C F6 29 83 95 71 1D DE 58 0D” χρησιμοποιείται για το μεγαλύτερο μέρος του πηγαίου κώδικα.
Με βάση τον ανοιχτό κώδικα, το Rekoobe θα μπορούσε να χρησιμοποιηθεί και από άλλους επιτιθέμενους εκτός από τη γνωστή κινεζική ομάδα APT31, ενώ οι περιπτώσεις επιθέσεων εναντίον εγχώριων συστημάτων έχουν αυξηθεί.
Για να αποτρέψετε τέτοιες απειλές ασφαλείας, ενημερώστε πάντα τα σχετικά συστήματα στις τελευταίες εκδόσεις, ώστε να τα προστατεύετε από επιθέσεις.
Πηγή πληροφοριών: cybersecuritynews.com