Συσκευές από τη Cisco, το Netgear και άλλες που κινδυνεύουν από το κακόβουλο λογισμικό πολλαπλών σταδίων, το οποίο είναι ενεργό από τον Απρίλιο του 2020 και δείχνει τη δουλειά ενός εξελιγμένου παράγοντα απειλών.
Ένας νέος trojan απομακρυσμένης πρόσβασης πολλαπλών σταδίων (RAT) που είναι ενεργός από τον Απρίλιο του 2020 εκμεταλλεύεται γνωστές ευπάθειες για να στοχεύσει δημοφιλείς δρομολογητές SOHO από τις Cisco Systems, Netgear, Asus και άλλες.
Το κακόβουλο λογισμικό, που ονομάζεται ZuoRAT, μπορεί να έχει πρόσβαση στο τοπικό LAN, να συλλαμβάνει πακέτα που μεταδίδονται στη συσκευή και να οργανώνει επιθέσεις man-in-the-middle μέσω πειρατείας DNS και HTTPS, σύμφωνα με ερευνητές από το σκέλος απειλών-πληροφοριών Black Lotus Labs της Lumen Technologies.
Η ικανότητα όχι μόνο να μεταπηδάτε σε ένα LAN από μια συσκευή SOHO και στη συνέχεια να οργανώσετε περαιτέρω επιθέσεις υποδηλώνει ότι το RAT μπορεί να είναι έργο ενός ηθοποιού που υποστηρίζεται από το κράτος, σημείωσαν στο ένα blog post δημοσιεύθηκε την Τετάρτη.
«Η χρήση αυτών των δύο τεχνικών απέδειξε ταυτόχρονα ένα υψηλό επίπεδο πολυπλοκότητας από έναν παράγοντα απειλής, υποδεικνύοντας ότι αυτή η εκστρατεία πραγματοποιήθηκε πιθανώς από έναν οργανισμό που χρηματοδοτείται από το κράτος», έγραψαν οι ερευνητές στην ανάρτηση.
Το επίπεδο φοροδιαφυγής που χρησιμοποιούν οι φορείς απειλών για να καλύψουν την επικοινωνία με την εντολή και τον έλεγχο (C&C) στις επιθέσεις «δεν μπορεί να υπερεκτιμηθεί» και επίσης δείχνει ότι το ZuoRAT είναι έργο επαγγελματιών, είπαν.
"Πρώτον, για να αποφύγουν τις υποψίες, παρέδωσαν την αρχική εκμετάλλευση από έναν αποκλειστικό εικονικό ιδιωτικό διακομιστή (VPS) που φιλοξενούσε καλοήθη περιεχόμενο», έγραψαν οι ερευνητές. «Στη συνέχεια, χρησιμοποίησαν τους δρομολογητές ως proxy C2 που κρύβονταν σε κοινή θέα μέσω της επικοινωνίας δρομολογητή σε δρομολογητή για να αποφύγουν περαιτέρω τον εντοπισμό. Και τέλος, περιέτρεπαν περιοδικά τους δρομολογητές μεσολάβησης για να αποφύγουν τον εντοπισμό.»
Ευκαιρία πανδημίας
Οι ερευνητές ονόμασαν το trojan μετά την κινεζική λέξη για το "αριστερά" λόγω του ονόματος αρχείου που χρησιμοποιείται από τους φορείς απειλών, "asdf.a". Το όνομα «υποδεικνύει το περπάτημα από το πληκτρολόγιο των αριστερών πλήκτρων του σπιτιού», έγραψαν οι ερευνητές.
Οι φορείς απειλών ανέπτυξαν το RAT που πιθανόν να επωφεληθούν από συσκευές SOHO που συχνά δεν είχαν επιδιορθωθεί λίγο μετά το ξέσπασμα της πανδημίας COVID-19 και πολλοί εργαζόμενοι έλαβαν εντολή να δουλειά από το σπίτι, Το οποίο άνοιξε μια σειρά από απειλές για την ασφάλεια, είπαν.
«Η ταχεία μετάβαση στην απομακρυσμένη εργασία την άνοιξη του 2020 παρουσίασε μια νέα ευκαιρία για τους παράγοντες απειλών να ανατρέψουν τις παραδοσιακές αμυντικές σε βάθος προστασίες στοχεύοντας τα πιο αδύναμα σημεία της νέας περιμέτρου δικτύου – συσκευές που αγοράζονται συνήθως από τους καταναλωτές αλλά σπάνια παρακολουθούνται ή διορθώνονται », έγραψαν οι ερευνητές. "Οι ηθοποιοί μπορούν να αξιοποιήσουν την πρόσβαση του δρομολογητή SOHO για να διατηρήσουν μια παρουσία χαμηλής ανίχνευσης στο δίκτυο-στόχο και να εκμεταλλευτούν ευαίσθητες πληροφορίες που διέρχονται από το LAN."
Επίθεση πολλαπλών σταδίων
Από ό,τι παρατήρησαν οι ερευνητές, το ZuoRAT είναι μια υπόθεση πολλαπλών σταδίων, με το πρώτο στάδιο της βασικής λειτουργικότητας που έχει σχεδιαστεί για να συλλέγει πληροφορίες σχετικά με τη συσκευή και το τοπικό δίκτυο στο οποίο είναι συνδεδεμένο, να επιτρέπει τη λήψη πακέτων της κυκλοφορίας δικτύου και στη συνέχεια να στέλνει τις πληροφορίες πίσω στην εντολή -and-control (C&C).
«Αξιολογούμε ότι ο σκοπός αυτού του στοιχείου ήταν να εγκλιματιστεί ο παράγοντας απειλής στον στοχευμένο δρομολογητή και στο παρακείμενο LAN για να καθορίσουμε εάν θα διατηρηθεί η πρόσβαση», σημείωσαν οι ερευνητές.
Αυτό το στάδιο έχει λειτουργικότητα για να διασφαλίσει ότι υπήρχε μόνο ένα στιγμιότυπο του πράκτορα και να εκτελέσει ένα core dump που θα μπορούσε να δώσει δεδομένα αποθηκευμένα στη μνήμη, όπως διαπιστευτήρια, πίνακες δρομολόγησης και πίνακες IP, καθώς και άλλες πληροφορίες, είπαν.
Το ZuoRAT περιλαμβάνει επίσης ένα δεύτερο στοιχείο που αποτελείται από βοηθητικές εντολές που αποστέλλονται στο δρομολογητή για χρήση ως επιλέγοντας ο ηθοποιός αξιοποιώντας πρόσθετες μονάδες που μπορούν να ληφθούν στη μολυσμένη συσκευή.
«Παρατηρήσαμε περίπου 2,500 ενσωματωμένες λειτουργίες, οι οποίες περιελάμβαναν μονάδες που κυμαίνονται από τον ψεκασμό κωδικού πρόσβασης έως την απαρίθμηση USB και την έγχυση κωδικού», έγραψαν οι ερευνητές.
Αυτό το στοιχείο παρέχει τη δυνατότητα για δυνατότητα απαρίθμησης LAN, η οποία επιτρέπει στον παράγοντα απειλής να διευρύνει περαιτέρω το περιβάλλον LAN και επίσης να εκτελεί πειρατεία DNS και HTTP, η οποία μπορεί να είναι δύσκολο να εντοπιστεί, είπαν.
Συνεχής Απειλή
Η Black Lotus ανέλυσε δείγματα από το VirusTotal και τη δική της τηλεμετρία για να καταλήξει στο συμπέρασμα ότι περίπου 80 στόχοι μέχρι στιγμής έχουν παραβιαστεί από το ZuoRAT.
Τα γνωστά τρωτά σημεία που αξιοποιούνται για την πρόσβαση σε δρομολογητές για τη διάδοση του RAT περιλαμβάνουν: CVE-2020-26878 και CVE-2020-26879. Συγκεκριμένα, οι φορείς απειλών χρησιμοποίησαν ένα φορητό εκτελέσιμο αρχείο (PE) των Windows μεταγλωττισμένο από Python που παρέπεμπε σε μια απόδειξη της έννοιας που ονομάζεται ruckus151021.py για να αποκτήσετε διαπιστευτήρια και να φορτώσετε το ZuoRAT, είπαν.
Λόγω των δυνατοτήτων και της συμπεριφοράς που επιδεικνύει το ZuoRAT, είναι πολύ πιθανό ότι όχι μόνο ο παράγοντας απειλής πίσω από το ZuoRAT εξακολουθεί να στοχεύει ενεργά συσκευές, αλλά «ζει απαρατήρητος στην άκρη των στοχευμένων δικτύων για χρόνια», είπαν οι ερευνητές.
Αυτό παρουσιάζει ένα εξαιρετικά επικίνδυνο σενάριο για εταιρικά δίκτυα και άλλους οργανισμούς με απομακρυσμένους εργαζόμενους να συνδέονται σε επηρεαζόμενες συσκευές, σημείωσε ένας επαγγελματίας ασφαλείας.
«Το υλικολογισμικό SOHO συνήθως δεν κατασκευάζεται με γνώμονα την ασφάλεια, ειδικά προ πανδημίας υλικολογισμικό όπου οι δρομολογητές SOHO δεν ήταν μεγάλος φορέας επίθεσης», παρατήρησε ο Dahvid Schloss, επικεφαλής της επιθετικής ομάδας ασφαλείας για την εταιρεία κυβερνοασφάλειας Βαθμός αξιωματικού, σε ένα email στο Threatpost.
Μόλις παραβιαστεί μια ευάλωτη συσκευή, οι φορείς απειλών έχουν στη συνέχεια το ελεύθερο «να σπρώξουν και να προωθήσουν όποια συσκευή είναι συνδεδεμένη» στην αξιόπιστη σύνδεση που κλέβουν, είπε.
«Από εκεί θα μπορούσατε να επιχειρήσετε να χρησιμοποιήσετε αλυσίδες μεσολάβησης για να ρίξετε εκμεταλλεύσεις στο δίκτυο ή απλώς να παρακολουθήσετε όλη την κίνηση που εισέρχεται, έξω και γύρω από το δίκτυο», είπε ο Schloss.
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- Θέματα ευπάθειας
- ιστοσελίδα της ασφάλειας
- zephyrnet
