Cisco, Netgeari ja teiste seadmed, mida ohustab mitmeastmeline pahavara, mis on olnud aktiivne alates 2020. aasta aprillist ja näitab kogenud ohutegija tööd.
Uudne mitmeastmeline kaugjuurdepääsu troojalane (RAT), mis on olnud aktiivne alates 2020. aasta aprillist, kasutab ära teadaolevaid turvaauke, et sihtida populaarseid Cisco Systemsi, Netgeari, Asuse ja teiste SOHO-ruutereid.
Lumen Technologiesi ohuluure haru Black Lotus Labsi teadlaste sõnul pääseb ZuoRAT-nimeline pahavara ligipääsu kohalikule kohtvõrgule, hõivab seadmes edastatavaid pakette ja korraldab DNS-i ja HTTPS-i kaaperdamise kaudu rünnakuid.
Võime mitte ainult hüpata SOHO-seadmelt LAN-i ja seejärel korraldada täiendavaid rünnakuid viitab sellele, et RAT võib olla riiklikult toetatud näitleja töö, märkisid nad blogi postitus avaldatud kolmapäeval.
"Nende kahe tehnika kasutamine näitas samaaegselt ohus osaleja kõrget keerukuse taset, mis näitab, et selle kampaania viis läbi tõenäoliselt riigi toetatud organisatsioon," kirjutasid teadlased postituses.
Nad ütlesid, et kõrvalehoidmise taset, mida ohus osalejad kasutavad, et varjata suhtlemist käsu- ja kontrolliga (C&C) rünnakutes, "ei saa üle hinnata" ja viitab ka sellele, et ZuoRAT on professionaalide töö.
"Esiteks, kahtluste vältimiseks andsid nad esialgse ärakasutamise üle spetsiaalselt virtuaalselt privaatserverilt (VPS), mis majutas healoomulist sisu, ”kirjutasid teadlased. "Järgmisena kasutasid nad ruutereid puhverserveri C2-dena, mis peitsid ruuteritevahelise suhtluse kaudu nähtavale nähtavale, et vältida tuvastamist. Ja lõpuks pöörasid nad puhverserveri ruutereid perioodiliselt, et vältida tuvastamist.
Pandeemia võimalus
Teadlased nimetasid trooja pärast hiinakeelset sõna "vasakule" ohus osalejate kasutatud failinime tõttu "asdf.a". Teadlased kirjutasid, et nimi "vihjatab vasakpoolsete koduklahvide klaviatuuril kõndimist".
Ohutegijad kasutasid RAT-i tõenäoliselt ära sageli paigatamata SOHO-seadmeid vahetult pärast COVID-19 pandeemia puhkemist ja paljudele töötajatele anti käsk kodus töötama, Mis avanes hulga julgeolekuohte, ütlesid nad.
"2020. aasta kevadel toimunud kiire üleminek kaugtööle andis ohus osalejatele uue võimaluse traditsioonilised põhjalikud kaitsemeetmed õõnestada, võttes sihikule uue võrguperimeetri kõige nõrgemad kohad – seadmed, mida tarbijad ostavad regulaarselt, kuid mida jälgitakse või parandatakse harva. ,” kirjutasid teadlased. "Näitlejad saavad kasutada SOHO-ruuteri juurdepääsu, et säilitada sihtvõrgus madala tuvastusega kohalolek ja kasutada kohtvõrku edastavat tundlikku teavet."
Mitmeastmeline rünnak
Teadlaste tähelepanekute põhjal on ZuoRAT mitmeastmeline, mille põhifunktsioonide esimene etapp on loodud selleks, et koguda teavet seadme ja LAN-i kohta, millega see ühendatud on, võimaldada võrguliikluse paketthõive ja seejärel saata teave tagasi käsule. -ja juhtimine (C&C).
"Hindame, et selle komponendi eesmärk oli kohaneda ohuteguriga sihitud ruuteri ja külgneva LAN-iga, et teha kindlaks, kas juurdepääs säilitada," märkisid teadlased.
Nad ütlesid, et sellel etapil on funktsioonid, mis tagavad ainult ühe agendi eksemplari olemasolu ja teostavad tuumtõmmise, mis võib anda mällu salvestatud andmeid, nagu mandaadid, marsruutimistabelid ja IP-tabelid, aga ka muud teavet.
ZuoRAT sisaldab ka teist komponenti, mis koosneb abikäskudest, mis saadetakse ruuterile, et neid saaks kasutada näitleja valikul, kasutades täiendavaid mooduleid, mida saab nakatunud seadmesse alla laadida.
"Me vaatlesime ligikaudu 2,500 manustatud funktsiooni, mis hõlmasid mooduleid alates parooli pritsimisest kuni USB-loenduse ja koodi sisestamiseni," kirjutasid teadlased.
See komponent pakub LAN-i loendusvõimet, mis võimaldab ohutegijal LAN-keskkonda veelgi laiendada ning teostada ka DNS-i ja HTTP-kaaperdamist, mida võib olla raske tuvastada, ütlesid nad.
Jätkuv oht
Black Lotus analüüsis VirusTotali ja oma telemeetria proove, et järeldada, et ZuoRAT on seni ohustanud umbes 80 sihtmärki.
Teadaolevad haavatavused, mida kasutatakse RAT-i levitamiseks ruuteritele juurdepääsuks, on järgmised: CVE-2020-26878 ja CVE-2020-26879. Täpsemalt kasutasid ohutegijad Pythoni kompileeritud Windowsi kaasaskantava käivitatava (PE) faili, mis viitas kontseptsiooni tõendile nimega ruckus151021.py volituste saamiseks ja ZuoRAT-i laadimiseks, ütlesid nad.
Tänu ZuoRAT-i võimetele ja käitumisele on väga tõenäoline, et ZuoRAT-i taga olev ohustaja ei sihib endiselt aktiivselt seadmeid, vaid on elanud aastaid märkamatult sihitud võrkude äärel, ütlesid teadlased.
Üks turvaspetsialist märkis, et see kujutab endast äärmiselt ohtlikku stsenaariumi ettevõtete võrkude ja muude organisatsioonide jaoks, kus kaugtöötajad loovad ühenduse mõjutatud seadmetega.
„SOHO püsivara ei ole tavaliselt loodud turvalisust silmas pidades, eriti pandeemia eelne püsivara, mille puhul SOHO ruuterid ei olnud suur rünnakute vektor,” märkis küberturbefirma ründava turvameeskonna juht Dahvid Schloss. Ešelon, e-kirjas Threatpostile.
Ta ütles, et kui haavatav seade on ohustatud, on ohus osalejatel vabad käed "torkida ja torkida mis tahes ühendatud seadet" usaldusväärse ühendusega, mille nad kaaperdavad, ütles ta.
"Sealt võite proovida kasutada puhverahelaid, et visata võrku ärakasutusi või lihtsalt jälgida kogu võrku sisenevat, väljuvat ja selle ümber toimuvat liiklust," ütles Schloss.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Haavatavused
- kodulehel turvalisus
- sephyrnet
