Dispositivos de Cisco, Netgear y otros en riesgo por el malware de múltiples etapas, que ha estado activo desde abril de 2020 y muestra el trabajo de un actor de amenazas sofisticado.
Un novedoso troyano de acceso remoto (RAT) de múltiples etapas que ha estado activo desde abril de 2020 está explotando vulnerabilidades conocidas para apuntar a enrutadores SOHO populares de Cisco Systems, Netgear, Asus y otros.
El malware, denominado ZuoRAT, puede acceder a la LAN local, capturar paquetes que se transmiten en el dispositivo y organizar ataques de intermediarios a través del secuestro de DNS y HTTPS, según investigadores del brazo de inteligencia de amenazas de Lumen Technologies, Black Lotus Labs.
La capacidad no solo de saltar a una LAN desde un dispositivo SOHO y luego organizar más ataques sugiere que la RAT puede ser obra de un actor patrocinado por el estado, señalaron en una entrada de blog publicado el miércoles.
“El uso de estas dos técnicas demostró de manera congruente un alto nivel de sofisticación por parte de un actor de amenazas, lo que indica que esta campaña posiblemente fue realizada por una organización patrocinada por el estado”, escribieron los investigadores en la publicación.
El nivel de evasión que utilizan los actores de amenazas para encubrir la comunicación con comando y control (C&C) en los ataques "no puede exagerarse" y también apunta a que ZuoRAT es obra de profesionales, dijeron.
"Primero, para evitar sospechas, entregaron el exploit inicial desde un servidor privado virtual (VPS) dedicado que albergaba contenido benigno”, escribieron los investigadores. “Luego, aprovecharon los enrutadores como C2 proxy que se escondían a plena vista a través de la comunicación de enrutador a enrutador para evitar aún más la detección. Y finalmente, rotaron los enrutadores proxy periódicamente para evitar la detección”.
Oportunidad de pandemia
Los investigadores nombraron el troyano después de la palabra china para "izquierda" debido al nombre de archivo utilizado por los actores de amenazas, "asdf.a". El nombre "sugiere que el teclado camina con las teclas de inicio de la mano izquierda", escribieron los investigadores.
Los actores de amenazas desplegaron la RAT probablemente para aprovechar los dispositivos SOHO a menudo sin parches poco después de que estalló la pandemia de COVID-19 y se ordenó a muchos trabajadores que trabajas desde casa, cual abierto una serie de amenazas a la seguridad, dijeron.
“El cambio rápido al trabajo remoto en la primavera de 2020 presentó una nueva oportunidad para que los actores de amenazas subvirtieran las protecciones tradicionales de defensa en profundidad al apuntar a los puntos más débiles del nuevo perímetro de la red: dispositivos que los consumidores compran de forma rutinaria pero que rara vez se monitorean o reparan. ”, escribieron los investigadores. “Los actores pueden aprovechar el acceso al enrutador SOHO para mantener una presencia de baja detección en la red de destino y explotar la información confidencial que transita por la LAN”.
Ataque en varias etapas
Por lo que observaron los investigadores, ZuoRAT es un asunto de varias etapas, con la primera etapa de la funcionalidad central diseñada para recopilar información sobre el dispositivo y la LAN a la que está conectado, permitir la captura de paquetes del tráfico de red y luego enviar la información de regreso al comando. -y-control (C&C).
“Evaluamos que el propósito de este componente era acostumbrar al actor de amenazas al enrutador objetivo y la LAN adyacente para determinar si mantener el acceso”, señalaron los investigadores.
Esta etapa tiene la funcionalidad de garantizar que solo haya una sola instancia del agente presente y realizar un volcado del núcleo que podría generar datos almacenados en la memoria, como credenciales, tablas de enrutamiento y tablas de IP, así como otra información, dijeron.
ZuoRAT también incluye un segundo componente compuesto por comandos auxiliares enviados al enrutador para que los use el actor que así lo elija aprovechando módulos adicionales que se pueden descargar en el dispositivo infectado.
“Observamos aproximadamente 2,500 funciones integradas, que incluían módulos que iban desde el rociado de contraseñas hasta la enumeración de USB y la inyección de código”, escribieron los investigadores.
Este componente proporciona la capacidad de enumeración de LAN, lo que permite que el actor de amenazas amplíe el alcance del entorno LAN y también realice el secuestro de DNS y HTTP, que puede ser difícil de detectar, dijeron.
Amenaza en curso
Black Lotus analizó muestras de VirusTotal y su propia telemetría para concluir que hasta el momento ZuoRAT ha comprometido alrededor de 80 objetivos.
Las vulnerabilidades conocidas explotadas para acceder a los enrutadores para propagar la RAT incluyen: CVE-2020-26878 y CVE-2020-26879. Específicamente, los actores de amenazas usaron un archivo ejecutable portátil (PE) de Windows compilado en Python que hacía referencia a una prueba de concepto llamada alboroto151021.py para obtener credenciales y cargar ZuoRAT, dijeron.
Debido a las capacidades y el comportamiento demostrado por ZuoRAT, es muy probable que no solo el actor de amenazas detrás de ZuoRAT siga apuntando activamente a los dispositivos, sino que haya estado "viviendo sin ser detectado en el borde de las redes objetivo durante años", dijeron los investigadores.
Esto presenta un escenario extremadamente peligroso para las redes corporativas y otras organizaciones con trabajadores remotos que se conectan a los dispositivos afectados, señaló un profesional de seguridad.
“El firmware SOHO generalmente no se crea teniendo en cuenta la seguridad, especialmente prepandémica firmware donde los enrutadores SOHO no eran un gran vector de ataque”, observó Dahvid Schloss, líder del equipo de seguridad ofensiva de la firma de seguridad cibernética. Escalón, en un correo electrónico a Threatpost.
Una vez que un dispositivo vulnerable se ve comprometido, los actores de amenazas tienen rienda suelta "para pinchar y pinchar cualquier dispositivo que esté conectado" a la conexión confiable que secuestran, dijo.
“A partir de ahí, podría intentar usar proxychains para lanzar exploits en la red o simplemente monitorear todo el tráfico que entra, sale y alrededor de la red”, dijo Schloss.
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- Vulnerabilidades
- seguridad del sitio web
- zephyrnet
