دستگاههای Cisco، Netgear و دیگران در معرض خطر این بدافزار چند مرحلهای هستند که از آوریل 2020 فعال بوده و کار یک بازیگر تهدید پیچیده را نشان میدهد.
یک تروجان دسترسی از راه دور چند مرحله ای جدید (RAT) که از آوریل 2020 فعال است، از آسیب پذیری های شناخته شده برای هدف قرار دادن روترهای محبوب SOHO از سیستم های سیسکو، نت گیر، ایسوس و دیگران استفاده می کند.
به گفته محققان بازوی تهدید-اطلاعات Lumen Technologies، این بدافزار که ZuoRAT نامیده میشود، میتواند به شبکه محلی محلی دسترسی داشته باشد، بستههایی را که روی دستگاه منتقل میشوند را ضبط کند و از طریق ربودن DNS و HTTPS حملات انسان در وسط را انجام دهد.
توانایی نه تنها پریدن به یک شبکه محلی از یک دستگاه SOHO و سپس انجام حملات بیشتر نشان می دهد که RAT ممکن است کار یک بازیگر تحت حمایت دولت باشد. یک پست وبلاگ چهارشنبه منتشر شد.محققان در این پست نوشتند: «استفاده از این دو تکنیک بهطور هماهنگ سطح بالایی از پیچیدگی را توسط یک عامل تهدید نشان داد، که نشان میدهد این کمپین احتمالاً توسط یک سازمان تحت حمایت دولت انجام شده است».
آنها گفتند که سطح فراری که بازیگران تهدید برای پنهان کردن ارتباط با فرماندهی و کنترل (C&C) در حملات استفاده میکنند، «نمیتوان اغراقآمیز» بود و همچنین نشان میدهد که ZuorAT کار حرفهایها است.
"اول، برای جلوگیری از سوء ظن، آنها اکسپلویت اولیه را از یک سرور خصوصی مجازی اختصاصی (VPS) که میزبان محتوای بیخطر بود، واگذار کردند. سپس، آنها از روترها به عنوان پروکسی C2 استفاده کردند که از طریق ارتباط روتر به روتر در دید آشکار پنهان می شدند تا از شناسایی بیشتر جلوگیری کنند. و در نهایت، آنها مسیریابهای پروکسی را به صورت دورهای میچرخانند تا از شناسایی جلوگیری کنند."
فرصت همه گیری
محققان به نام تروجان پس از کلمه چینی "چپ" به دلیل نام فایل استفاده شده توسط عوامل تهدید، "asdf.a". محققان نوشتند که این نام "پیشنهاد راه رفتن با صفحه کلید روی کلیدهای خانه سمت چپ" را نشان می دهد.
عوامل تهدید، RAT را به احتمال زیاد برای استفاده از دستگاه های SOHO که اغلب اصلاح نشده اند، مدت کوتاهی پس از شیوع بیماری همه گیر کووید-19 به کار گرفتند و به بسیاری از کارگران دستور داده شد. از خانه کار کن، که باز کردن آنها گفتند که انبوهی از تهدیدات امنیتی.
تغییر سریع به کار از راه دور در بهار 2020 فرصت جدیدی را برای عوامل تهدید ایجاد کرد تا با هدف قرار دادن ضعیفترین نقاط محیط شبکه جدید - دستگاههایی که معمولاً توسط مصرفکنندگان خریداری میشوند اما به ندرت نظارت میشوند یا وصله میشوند، محافظهای سنتی دفاعی عمیق را زیر پا بگذارند. محققان نوشتند. بازیگران میتوانند از دسترسی روتر SOHO برای حفظ حضور کمتشخیص در شبکه هدف و بهرهبرداری از اطلاعات حساس انتقال شبکه LAN استفاده کنند.
حمله چند مرحله ای
طبق آنچه محققان مشاهده کردند، ZuoRAT یک امر چند مرحلهای است، با اولین مرحله از عملکرد اصلی برای جمعآوری اطلاعات در مورد دستگاه و شبکه محلی که به آن متصل است، امکان ضبط بستهای از ترافیک شبکه را فراهم میکند و سپس اطلاعات را به دستور ارسال میکند. -و-کنترل (C&C).
محققان خاطرنشان کردند: «ما هدف از این مؤلفه را تطبیق دادن عامل تهدید به روتر هدف و شبکه محلی مجاور برای تعیین اینکه آیا باید دسترسی را حفظ کنیم، ارزیابی میکنیم.
به گفته آنها، این مرحله عملکردی برای اطمینان از وجود تنها یک نمونه از عامل، و انجام یک تخلیه هسته ای دارد که می تواند داده های ذخیره شده در حافظه مانند اعتبارنامه ها، جداول مسیریابی و جداول IP و همچنین اطلاعات دیگر را به دست آورد.
ZuoRAT همچنین شامل مولفه دومی است که شامل دستورات کمکی است که برای استفاده به عنوان بازیگر به روتر ارسال میشود، بنابراین با استفاده از ماژولهای اضافی قابل دانلود در دستگاه آلوده، انتخاب میکند.
محققان نوشتند: «ما تقریباً 2,500 عملکرد جاسازی شده را مشاهده کردیم که شامل ماژولهایی از پاشش رمز عبور گرفته تا شمارش USB و تزریق کد بود.
به گفته آنها، این مؤلفه قابلیتی را برای قابلیت شمارش LAN فراهم می کند، که به عامل تهدید اجازه می دهد تا محیط LAN را بیشتر بررسی کند و همچنین سرقت DNS و HTTP را انجام دهد، که تشخیص آن دشوار است.
تهدید مداوم
Black Lotus نمونه هایی از VirusTotal و تله متری خود را تجزیه و تحلیل کرد تا به این نتیجه برسد که حدود 80 هدف تاکنون توسط ZuoRAT در معرض خطر قرار گرفته اند.
آسیب پذیری های شناخته شده ای که برای دسترسی به روترها برای گسترش RAT مورد سوء استفاده قرار می گیرند عبارتند از: CVE-2020-26878 و CVE-2020-26879. به طور خاص، عوامل تهدید از یک فایل اجرایی قابل حمل ویندوز (PE) کامپایل شده توسط پایتون استفاده کردند که به اثبات مفهومی به نام ارجاع میداد. ruckus151021.py آنها گفتند برای به دست آوردن اعتبار و بارگیری ZuoRAT.
به گفته محققان، با توجه به قابلیتها و رفتار نشاندادهشده توسط ZuoRAT، این احتمال وجود دارد که نه تنها عامل تهدید در پشت ZuoRAT هنوز به طور فعال دستگاهها را هدف قرار میدهد، بلکه «سالهاست که در لبه شبکههای هدفمند زندگی میکند».
یک متخصص امنیتی اشاره کرد که این یک سناریوی بسیار خطرناک برای شبکههای شرکتی و سایر سازمانها با کارمندان از راه دور که به دستگاههای آسیبدیده متصل هستند، ارائه میکند.
«سیستمافزار SOHO معمولاً با در نظر گرفتن امنیت ساخته نمیشود پیش از همه گیری Dahvid Schloss، سرپرست تیم امنیتی تهاجمی برای شرکت امنیت سایبری مشاهده کرد که در آن روترهای SOHO یک عامل حمله بزرگ نبودند. Echelon, در یک ایمیل به Threatpost.
او گفت که هنگامی که یک دستگاه آسیب پذیر در معرض خطر قرار می گیرد، عوامل تهدید در آن صورت آزاد هستند تا "به هر وسیله ای که متصل است ضربه بزنند و به اتصال قابل اعتمادی که ربوده اند، ضربه بزنند".
Schloss گفت: «از آنجا میتوانید از زنجیرههای پراکسی برای پرتاب اکسپلویتها به شبکه استفاده کنید یا فقط تمام ترافیک ورودی، خروجی و اطراف شبکه را نظارت کنید.