ZuoRAT می تواند روترهای SOHO را که به طور گسترده مورد استفاده قرار می گیرند، تصاحب کند

یک تروجان دسترسی از راه دور چند مرحله ای جدید (RAT) که از آوریل 2020 فعال است، از آسیب پذیری های شناخته شده برای هدف قرار دادن روترهای محبوب SOHO از سیستم های سیسکو، نت گیر، ایسوس و دیگران استفاده می کند.

به گفته محققان بازوی تهدید-اطلاعات Lumen Technologies، این بدافزار که ZuoRAT نامیده می‌شود، می‌تواند به شبکه محلی محلی دسترسی داشته باشد، بسته‌هایی را که روی دستگاه منتقل می‌شوند را ضبط کند و از طریق ربودن DNS و HTTPS حملات انسان در وسط را انجام دهد.

توانایی نه تنها پریدن به یک شبکه محلی از یک دستگاه SOHO و سپس انجام حملات بیشتر نشان می دهد که RAT ممکن است کار یک بازیگر تحت حمایت دولت باشد. یک پست وبلاگ چهارشنبه منتشر شد.محققان در این پست نوشتند: «استفاده از این دو تکنیک به‌طور هماهنگ سطح بالایی از پیچیدگی را توسط یک عامل تهدید نشان داد، که نشان می‌دهد این کمپین احتمالاً توسط یک سازمان تحت حمایت دولت انجام شده است».

آنها گفتند که سطح فراری که بازیگران تهدید برای پنهان کردن ارتباط با فرماندهی و کنترل (C&C) در حملات استفاده می‌کنند، «نمی‌توان اغراق‌آمیز» بود و همچنین نشان می‌دهد که ZuorAT کار حرفه‌ای‌ها است.

"اول، برای جلوگیری از سوء ظن، آنها اکسپلویت اولیه را از یک سرور خصوصی مجازی اختصاصی (VPS) که میزبان محتوای بی‌خطر بود، واگذار کردند. سپس، آنها از روترها به عنوان پروکسی C2 استفاده کردند که از طریق ارتباط روتر به روتر در دید آشکار پنهان می شدند تا از شناسایی بیشتر جلوگیری کنند. و در نهایت، آنها مسیریاب‌های پروکسی را به صورت دوره‌ای می‌چرخانند تا از شناسایی جلوگیری کنند."

فرصت همه گیری

محققان به نام تروجان پس از کلمه چینی "چپ" به دلیل نام فایل استفاده شده توسط عوامل تهدید، "asdf.a". محققان نوشتند که این نام "پیشنهاد راه رفتن با صفحه کلید روی کلیدهای خانه سمت چپ" را نشان می دهد.

عوامل تهدید، RAT را به احتمال زیاد برای استفاده از دستگاه های SOHO که اغلب اصلاح نشده اند، مدت کوتاهی پس از شیوع بیماری همه گیر کووید-19 به کار گرفتند و به بسیاری از کارگران دستور داده شد. از خانه کار کن، که باز کردن آنها گفتند که انبوهی از تهدیدات امنیتی.

تغییر سریع به کار از راه دور در بهار 2020 فرصت جدیدی را برای عوامل تهدید ایجاد کرد تا با هدف قرار دادن ضعیف‌ترین نقاط محیط شبکه جدید - دستگاه‌هایی که معمولاً توسط مصرف‌کنندگان خریداری می‌شوند اما به ندرت نظارت می‌شوند یا وصله می‌شوند، محافظ‌های سنتی دفاعی عمیق را زیر پا بگذارند. محققان نوشتند. بازیگران می‌توانند از دسترسی روتر SOHO برای حفظ حضور کم‌تشخیص در شبکه هدف و بهره‌برداری از اطلاعات حساس انتقال شبکه LAN استفاده کنند.

حمله چند مرحله ای

طبق آنچه محققان مشاهده کردند، ZuoRAT یک امر چند مرحله‌ای است، با اولین مرحله از عملکرد اصلی برای جمع‌آوری اطلاعات در مورد دستگاه و شبکه محلی که به آن متصل است، امکان ضبط بسته‌ای از ترافیک شبکه را فراهم می‌کند و سپس اطلاعات را به دستور ارسال می‌کند. -و-کنترل (C&C).

محققان خاطرنشان کردند: «ما هدف از این مؤلفه را تطبیق دادن عامل تهدید به روتر هدف و شبکه محلی مجاور برای تعیین اینکه آیا باید دسترسی را حفظ کنیم، ارزیابی می‌کنیم.

به گفته آنها، این مرحله عملکردی برای اطمینان از وجود تنها یک نمونه از عامل، و انجام یک تخلیه هسته ای دارد که می تواند داده های ذخیره شده در حافظه مانند اعتبارنامه ها، جداول مسیریابی و جداول IP و همچنین اطلاعات دیگر را به دست آورد.

ZuoRAT همچنین شامل مولفه دومی است که شامل دستورات کمکی است که برای استفاده به عنوان بازیگر به روتر ارسال می‌شود، بنابراین با استفاده از ماژول‌های اضافی قابل دانلود در دستگاه آلوده، انتخاب می‌کند.

محققان نوشتند: «ما تقریباً 2,500 عملکرد جاسازی شده را مشاهده کردیم که شامل ماژول‌هایی از پاشش رمز عبور گرفته تا شمارش USB و تزریق کد بود.

به گفته آنها، این مؤلفه قابلیتی را برای قابلیت شمارش LAN فراهم می کند، که به عامل تهدید اجازه می دهد تا محیط LAN را بیشتر بررسی کند و همچنین سرقت DNS و HTTP را انجام دهد، که تشخیص آن دشوار است.

تهدید مداوم

Black Lotus نمونه هایی از VirusTotal و تله متری خود را تجزیه و تحلیل کرد تا به این نتیجه برسد که حدود 80 هدف تاکنون توسط ZuoRAT در معرض خطر قرار گرفته اند.

آسیب پذیری های شناخته شده ای که برای دسترسی به روترها برای گسترش RAT مورد سوء استفاده قرار می گیرند عبارتند از: CVE-2020-26878 و CVE-2020-26879. به طور خاص، عوامل تهدید از یک فایل اجرایی قابل حمل ویندوز (PE) کامپایل شده توسط پایتون استفاده کردند که به اثبات مفهومی به نام ارجاع می‌داد. ruckus151021.py آنها گفتند برای به دست آوردن اعتبار و بارگیری ZuoRAT.

به گفته محققان، با توجه به قابلیت‌ها و رفتار نشان‌داده‌شده توسط ZuoRAT، این احتمال وجود دارد که نه تنها عامل تهدید در پشت ZuoRAT هنوز به طور فعال دستگاه‌ها را هدف قرار می‌دهد، بلکه «سال‌هاست که در لبه شبکه‌های هدفمند زندگی می‌کند».

یک متخصص امنیتی اشاره کرد که این یک سناریوی بسیار خطرناک برای شبکه‌های شرکتی و سایر سازمان‌ها با کارمندان از راه دور که به دستگاه‌های آسیب‌دیده متصل هستند، ارائه می‌کند.

«سیستم‌افزار SOHO معمولاً با در نظر گرفتن امنیت ساخته نمی‌شود پیش از همه گیری Dahvid Schloss، سرپرست تیم امنیتی تهاجمی برای شرکت امنیت سایبری مشاهده کرد که در آن روترهای SOHO یک عامل حمله بزرگ نبودند. Echelon, در یک ایمیل به Threatpost.

او گفت که هنگامی که یک دستگاه آسیب پذیر در معرض خطر قرار می گیرد، عوامل تهدید در آن صورت آزاد هستند تا "به هر وسیله ای که متصل است ضربه بزنند و به اتصال قابل اعتمادی که ربوده اند، ضربه بزنند".

Schloss گفت: «از آنجا می‌توانید از زنجیره‌های پراکسی برای پرتاب اکسپلویت‌ها به شبکه استفاده کنید یا فقط تمام ترافیک ورودی، خروجی و اطراف شبکه را نظارت کنید.