Enheder fra Cisco, Netgear og andre i fare fra multi-stage malware, som har været aktiv siden april 2020 og viser arbejdet fra en sofistikeret trusselsaktør.
En ny flertrins fjernadgangstrojaner (RAT), der har været aktiv siden april 2020, udnytter kendte sårbarheder til at målrette mod populære SOHO-routere fra Cisco Systems, Netgear, Asus og andre.
Malwaren, kaldet ZuoRAT, kan få adgang til det lokale LAN, fange pakker, der transmitteres på enheden og iscenesætte man-in-the-middle-angreb gennem DNS- og HTTPS-kapring, ifølge forskere fra Lumen Technologies' trussel-intelligensarm Black Lotus Labs.
Evnen til ikke kun at hoppe på et LAN fra en SOHO-enhed og derefter iscenesætte yderligere angreb tyder på, at RAT kan være værket af en statssponsoreret skuespiller, bemærkede de i et blog-indlæg offentliggjort onsdag.
"Brugen af disse to teknikker demonstrerede kongruent et højt niveau af sofistikering af en trusselsaktør, hvilket indikerer, at denne kampagne muligvis blev udført af en statssponsoreret organisation," skrev forskere i indlægget.
Niveauet af unddragelse, som trusselsaktører bruger til at dække over kommunikation med kommando-og-kontrol (C&C) i angrebene "kan ikke overvurderes" og peger også på, at ZuoRAT er fagfolks arbejde, sagde de.
"For det første, for at undgå mistanke, afleverede de den indledende udnyttelse fra en dedikeret virtuel privat server (VPS), der var vært for godartet indhold,” skrev forskere. "Dernæst udnyttede de routere som proxy C2'er, der gemte sig i almindeligt syn gennem router-til-router-kommunikation for yderligere at undgå registrering. Og endelig roterede de proxy-routere med jævne mellemrum for at undgå registrering."
Pandemisk mulighed
Forskere navngav trojan efter det kinesiske ord for "venstre" på grund af filnavnet brugt af trusselsaktørerne, "asdf.a." Navnet "antyder tastaturgang af venstrehånds tasterne," skrev forskere.
Trusselsaktører indsatte RAT, som sandsynligvis ville drage fordel af ofte ikke-patchede SOHO-enheder kort efter, at COVID-19-pandemien brød ud, og mange arbejdere blev beordret til at arbejde hjemmefra, Hvilket åbnede et væld af sikkerhedstrusler, sagde de.
"Det hurtige skift til fjernarbejde i foråret 2020 gav en ny mulighed for trusselsaktører til at undergrave traditionel dybdegående beskyttelse ved at målrette mod de svageste punkter i den nye netværksperimeter - enheder, som rutinemæssigt købes af forbrugere, men sjældent overvåges eller lappes. ", skrev forskere. "Skuespillere kan udnytte SOHO-routeradgang til at opretholde en lav-detektions-tilstedeværelse på målnetværket og udnytte følsom information, der overfører LAN."
Flertrinsangreb
Ud fra, hvad forskere har observeret, er ZuoRAT en affære i flere trin, med den første fase af kernefunktionalitet designet til at indsamle information om enheden og det LAN, som den er forbundet til, aktivere pakkefangst af netværkstrafik og derefter sende informationen tilbage til kommandoen -og-kontrol (C&C).
"Vi vurderer, at formålet med denne komponent var at akklimatisere trusselsaktøren til den målrettede router og det tilstødende LAN for at afgøre, om der skulle opretholdes adgang," bemærkede forskere.
Denne fase har funktionalitet til at sikre, at kun en enkelt forekomst af agenten var til stede, og til at udføre en kernedump, der kunne give data gemt i hukommelsen, såsom legitimationsoplysninger, routingtabeller og IP-tabeller, samt anden information, sagde de.
ZuoRAT inkluderer også en anden komponent, der består af hjælpekommandoer, der sendes til routeren til brug, som aktøren vælger det ved at udnytte yderligere moduler, der kan downloades til den inficerede enhed.
"Vi observerede cirka 2,500 indlejrede funktioner, som inkluderede moduler lige fra spraying med adgangskoder til USB-optælling og kodeinjektion," skrev forskere.
Denne komponent giver mulighed for LAN-optællingskapacitet, som gør det muligt for trusselsaktøren at udforske LAN-miljøet yderligere og også udføre DNS- og HTTP-kapring, som kan være svært at opdage, sagde de.
Igangværende trussel
Black Lotus analyserede prøver fra VirusTotal og sin egen telemetri for at konkludere, at omkring 80 mål indtil videre er blevet kompromitteret af ZuoRAT.
Kendte sårbarheder, der udnyttes til at få adgang til routere for at sprede RAT omfatter: CVE-2020-26878 , CVE-2020-26879. Specifikt brugte trusselsaktører en Python-kompileret Windows portable executable (PE) fil, der refererede til et proof of concept kaldet ruckus151021.py for at få legitimationsoplysninger og indlæse ZuoRAT, sagde de.
På grund af de muligheder og adfærd, der er demonstreret af ZuoRAT, er det højst sandsynligt, at ikke kun trusselsaktøren bag ZuoRAT stadig aktivt retter sig mod enheder, men har "levet uopdaget på kanten af målrettede netværk i årevis," sagde forskere.
Dette udgør et ekstremt farligt scenarie for virksomhedsnetværk og andre organisationer med fjernarbejdere, der forbinder til berørte enheder, bemærkede en sikkerhedsekspert.
“SOHO firmware er typisk ikke bygget med sikkerhed i tankerne, især præ-pandemi firmware, hvor SOHO-routere ikke var en stor angrebsvektor,” bemærkede Dahvid Schloss, leder af offensivt sikkerhedsteam for cybersikkerhedsfirmaet Echelon, i en e-mail til Threatpost.
Når først en sårbar enhed er kompromitteret, har trusselsaktører frie tøjler "til at stikke og proppe på den enhed, der er forbundet" til den betroede forbindelse, som de kaprer, sagde han.
"Derfra kan du forsøge at bruge proxykæder til at smide udnyttelser ind i netværket eller bare overvåge al den trafik, der går ind, ud og rundt om netværket," sagde Schloss.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- Sårbarheder
- website sikkerhed
- zephyrnet
