الأجهزة من Cisco و Netgear وغيرهما معرضة للخطر من البرامج الضارة متعددة المراحل ، والتي كانت نشطة منذ أبريل 2020 وتُظهر عمل ممثل تهديد متطور.
يستغل حصان طروادة (RAT) الجديد متعدد المراحل للوصول عن بعد والذي كان نشطًا منذ أبريل 2020 نقاط الضعف المعروفة لاستهداف أجهزة توجيه SOHO الشهيرة من أنظمة Cisco و Netgear و Asus وغيرها.
يمكن للبرامج الضارة ، التي يطلق عليها اسم ZuoRAT ، الوصول إلى الشبكة المحلية المحلية ، والتقاط الحزم التي يتم نقلها على الجهاز ، وتنفيذ هجمات الرجل في الوسط من خلال اختطاف DNS و HTTPS ، وفقًا لباحثين من شركة Black Lotus Labs ، ذراع استخبارات التهديدات من Lumen Technologies.
إن القدرة على القفز ليس فقط على شبكة LAN من جهاز SOHO ثم شن المزيد من الهجمات تشير إلى أن RAT قد يكون من عمل ممثل ترعاه الدولة ، كما أشاروا في لبلوق وظيفة نشرت الأربعاء.
وكتب الباحثون في المنشور: "أظهر استخدام هاتين الطريقتين بشكل متطابق مستوى عالٍ من التطور من قبل ممثل التهديد ، مما يشير إلى أن هذه الحملة ربما تم تنفيذها من قبل منظمة ترعاها الدولة".
وقالوا إن مستوى التهرب الذي يستخدمه الفاعلون للتستر على التواصل مع القيادة والسيطرة (C&C) في الهجمات "لا يمكن المبالغة فيه" ويشير أيضًا إلى أن ZuoRAT هو عمل المحترفين ، على حد قولهم.
"أولاً ، لتجنب الشك ، قاموا بتسليم الاستغلال الأولي من خادم خاص افتراضي مخصص (VPS) يستضيف محتوى حميد "، كتب الباحثون. "بعد ذلك ، استفادوا من أجهزة التوجيه مثل C2s الوكيل التي اختبأت في مرمى البصر من خلال الاتصال من جهاز التوجيه إلى جهاز التوجيه لتفادي الاكتشاف بشكل أكبر. وأخيرًا ، قاموا بتدوير أجهزة التوجيه الوكيل بشكل دوري لتجنب الاكتشاف. "
فرصة الوباء
أطلق الباحثون على اسم حصان طروادة بعد الكلمة الصينية التي تعني "يسار" بسبب اسم الملف المستخدم من قبل الجهات المهددة ، "asdf.a." كتب الباحثون أن الاسم "يوحي بمشي لوحة المفاتيح لمفاتيح المنزل اليسرى".
قام ممثلو التهديد بنشر RAT على الأرجح للاستفادة من أجهزة SOHO غير المصححة في كثير من الأحيان بعد وقت قصير من اندلاع جائحة COVID-19 وتم إصدار أوامر للعديد من العمال العمل من المنزل، التي فتحت وقالوا مجموعة من التهديدات الأمنية.
"قدم التحول السريع إلى العمل عن بُعد في ربيع عام 2020 فرصة جديدة لممثلي التهديد لتخريب وسائل الحماية التقليدية المتعمقة من خلال استهداف أضعف نقاط محيط الشبكة الجديدة - الأجهزة التي يتم شراؤها بشكل روتيني من قبل المستهلكين ولكن نادرًا ما يتم مراقبتها أو تصحيحها كتب الباحثون. "يمكن للممثلين الاستفادة من وصول جهاز توجيه SOHO للحفاظ على وجود منخفض للكشف على الشبكة المستهدفة واستغلال المعلومات الحساسة التي تمر عبر شبكة LAN."
هجوم متعدد المراحل
من خلال ما لاحظه الباحثون ، فإن ZuoRAT عبارة عن علاقة متعددة المراحل ، مع المرحلة الأولى من الوظائف الأساسية المصممة لجمع معلومات حول الجهاز والشبكة المحلية المتصلة به ، وتمكين التقاط حزم حركة مرور الشبكة ، ثم إرسال المعلومات مرة أخرى إلى الأمر. - والتحكم (C & C).
وأشار الباحثون إلى أن "الغرض من هذا المكون هو تأقلم عامل التهديد مع جهاز التوجيه المستهدف والشبكة المحلية المجاورة لتحديد ما إذا كان يجب الحفاظ على الوصول أم لا".
وقالوا إن هذه المرحلة لها وظيفة لضمان وجود مثيل واحد فقط من الوكيل ، ولإجراء تفريغ أساسي يمكن أن ينتج عنه بيانات مخزنة في الذاكرة مثل بيانات الاعتماد وجداول التوجيه وجداول IP ، بالإضافة إلى معلومات أخرى.
يشتمل ZuoRAT أيضًا على مكون ثانٍ يتألف من أوامر مساعدة يتم إرسالها إلى جهاز التوجيه لاستخدامها كممثل لذلك يختارها من خلال الاستفادة من الوحدات الإضافية التي يمكن تنزيلها على الجهاز المصاب.
كتب الباحثون: "لاحظنا ما يقرب من 2,500 وظيفة مضمنة ، والتي تضمنت وحدات تتراوح من رش كلمات المرور إلى تعداد USB وحقن الكود".
يوفر هذا المكون القدرة على إمكانية تعداد LAN ، مما يسمح للجهة الفاعلة بالتهديد بتوسيع نطاق بيئة LAN وأيضًا تنفيذ اختطاف DNS و HTTP ، والذي قد يكون من الصعب اكتشافه ، كما قالوا.
التهديد المستمر
قام Black Lotus بتحليل عينات من VirusTotal والقياس عن بعد الخاص به لاستنتاج أن حوالي 80 هدفًا حتى الآن تم اختراقها بواسطة ZuoRAT.
تشمل نقاط الضعف المعروفة التي تم استغلالها للوصول إلى أجهزة التوجيه لنشر RAT ما يلي: CVE-2020-26878 و CVE-2020-26879. على وجه التحديد ، استخدم ممثلو التهديد ملف Windows قابل للتنفيذ (PE) تم تجميعه بلغة Python والذي أشار إلى دليل على المفهوم يسمى ruckus151021.py للحصول على بيانات الاعتماد وتحميل ZuoRAT ، قالوا.
نظرًا للقدرات والسلوك الذي أظهرته ZuoRAT ، فمن المحتمل جدًا ألا يقتصر الأمر على أن الفاعل الذي يقف وراء ZuoRAT لا يزال يستهدف الأجهزة بنشاط ، ولكنه "يعيش دون أن يُكتشف على حافة الشبكات المستهدفة منذ سنوات".
هذا يمثل سيناريو خطير للغاية لشبكات الشركات والمؤسسات الأخرى التي لديها عمال عن بعد متصلون بالأجهزة المتأثرة ، كما أشار أحد المتخصصين في مجال الأمان.
"لا يتم إنشاء البرامج الثابتة SOHO عادةً مع وضع الأمان في الاعتبار ، على وجه الخصوص ما قبل الوباء البرامج الثابتة حيث لم تكن أجهزة توجيه SOHO متجهًا كبيرًا للهجوم "، لاحظ Dahvid Schloss ، رئيس فريق الأمان الهجومية لشركة الأمن السيبراني نسق, في رسالة بريد إلكتروني إلى Threatpost.
وقال إنه بمجرد اختراق جهاز ضعيف ، يكون لدى الجهات الفاعلة في التهديد حرية التصرف في "الوخز والحث على أي جهاز متصل" بالاتصال الموثوق به الذي يقومون باختطافه.
قال شلوس: "من هناك يمكنك محاولة استخدام سلاسل الوكلاء لإلقاء الثغرات في الشبكة أو مجرد مراقبة كل حركة المرور التي تدخل وتخرج وحول الشبكة".
