主要观点：2023 年 10 月至 11 月，Lumen 技术公司的 Black Lotus Labs 发现大量小型办公/家庭办公（SOHO）路由器被恶意软件攻击并下线，需硬件更换。主要恶意软件为 Chalubo 远程访问木马（RAT），其利用多种手段隐藏活动，设计用于多种 SOHO/IoT 内核，具备执行 DDoS 攻击等功能。此次攻击导致特定 ASN 约 49%的设备暴露减少，影响了 ActionTec 等设备，可能是利用弱凭证或暴露的管理界面入侵，感染过程包括多个阶段，如获取脚本、下载恶意文件等，还发现了相关的 Lua 脚本及不同阶段的通信细节等。全球范围内，约 45 个恶意软件面板与 Chalubo 感染相关，多数 bot 仅与一个控制面板通信，且只有一个面板用于破坏性攻击。此次攻击被认为是恶意网络行为者的蓄意行为，Black Lotus Labs 已将相关 IOC 纳入威胁情报，建议管理 SOHO 路由器的组织和消费者采取安全措施保护网络。

关键信息：

• 2023 年 10 月 25 - 27 日，大量 SOHO 路由器下线，需硬件更换，影响 ActionTec T3200s 和 T3260s 设备。
• 发现 Chalubo RAT 为主要恶意软件，其采用多种隐藏手段，设计用于多种 SOHO/IoT 内核。
• 感染过程包括获取脚本、下载恶意文件等多个阶段，涉及多种文件和系统操作。
• 全球范围内约 45 个恶意软件面板与 Chalubo 感染相关，多数 bot 仅与一个控制面板通信。
• 此次攻击被认为是恶意网络行为者的蓄意行为，Black Lotus Labs 已采取措施并建议采取安全措施。

重要细节：

• 利用 OpenCVE 未找到影响 ActionTec 设备的漏洞利用程序，推测可能利用弱凭证或暴露的管理界面入侵。
• 恶意脚本会检查特定文件路径是否存在恶意二进制文件，若不存在则打开 iptables 规则并获取脚本执行。
• Chalubo 会获取主机信息并尝试发送到威胁行为者创建的域，若无法解析则使用硬编码 IP 地址。
• 二进制文件会进行一系列操作，如调整 oom_adj 和 oom_score_adj 值、删除自身、重命名进程等。
• 嵌入的 ChaCha20 加密密钥和 nonce 与 2018 年报告相同，部分 Lua 脚本功能可能用于执行破坏性操作。
• 全球热图显示 Chalubo 感染的分布情况，以及一个管理全球控制器的二级服务器。
• 建议管理 SOHO 路由器的组织和消费者采取安全措施，如避免使用默认密码、定期重启和安装更新等。