Ciscon, Netgearin ja muiden laitteet ovat vaarassa monivaiheisen haittaohjelman vuoksi, joka on ollut aktiivinen huhtikuusta 2020 lähtien ja osoittaa hienostuneen uhkatoimijan työtä.
Uusi monivaiheinen etäkäyttötroijalainen (RAT), joka on ollut aktiivinen huhtikuusta 2020 lähtien, käyttää tunnettuja haavoittuvuuksia kohdistaakseen Cisco Systemsin, Netgearin, Asuksen ja muiden suosittujen SOHO-reitittimien.
Lumen Technologiesin Black Lotus Labsin uhkatiedusteluosaston tutkijoiden mukaan haittaohjelma, nimeltään ZuoRAT, voi käyttää paikallista lähiverkkoa, kaapata laitteella lähetettyjä paketteja ja toteuttaa välimieshyökkäyksiä DNS- ja HTTPS-kaappausten kautta.
He totesivat, että kyky hypätä lähiverkkoon SOHO-laitteesta ja tehdä sitten uusia hyökkäyksiä viittaa siihen, että RAT saattaa olla valtion tukeman toimijan työtä. blogi julkaistu keskiviikkona.
"Näiden kahden tekniikan käyttö osoitti yhteneväisesti uhkatoimijan korkeaa kehittyneisyyttä, mikä osoittaa, että tämän kampanjan toteutti mahdollisesti valtion tukema organisaatio", tutkijat kirjoittivat viestissä.
Heidän mukaansa uhkatoimijoiden salailun tasoa komentojen ja johtajien (C&C) kanssa ei voida liioitella, ja se viittaa myös siihen, että ZuoRAT on ammattilaisten työtä.
"Ensinnäkin, välttääkseen epäilykset, he luovuttivat ensimmäisen hyödyn omistetulta virtuaaliselta yksityiseltä palvelimelta (VPS), joka isännöi hyvänlaatuista sisältöä", tutkijat kirjoittivat. "Seuraavaksi he hyödynsivät reitittimiä välityspalvelimena C2, jotka piiloutuivat näkyville reitittimen välisen tiedonsiirron kautta havaitsemisen välttämiseksi. Ja lopuksi he käänsivät välityspalvelinreitittimiä säännöllisesti havaitsemisen välttämiseksi."
Pandemiamahdollisuus
Tutkijat nimesivät troijalainen kiinalaisen sanan "vasemma" jälkeen uhkatekijöiden käyttämän tiedostonimen takia "asdf.a". Nimi "ehdottaa näppäimistöllä kävelemistä vasemmalla kotinäppäimellä", tutkijat kirjoittivat.
Uhkatoimijat käyttivät RAT:ia todennäköisesti hyödyntääkseen usein korjaamattomia SOHO-laitteita pian COVID-19-pandemian puhkeamisen jälkeen ja monet työntekijät määrättiin työtä kotoa, Joka avautui joukko turvallisuusuhkia, he sanoivat.
"Keväällä 2020 tapahtunut nopea siirtyminen etätyöhön toi uhkatoimijoille uuden mahdollisuuden horjuttaa perinteistä syvällistä puolustusta kohdistamalla uuden verkon kehän heikoimpia kohtia eli laitteita, joita kuluttajat ostavat rutiininomaisesti, mutta joita valvotaan tai korjataan harvoin. ", tutkijat kirjoittivat. "Toimijat voivat hyödyntää SOHO-reitittimen pääsyä ylläpitääkseen alhaisen tunnistustason läsnäoloa kohdeverkossa ja hyödyntääkseen LAN-verkon kautta kulkevia arkaluonteisia tietoja."
Monivaiheinen hyökkäys
Tutkijoiden havaintojen mukaan ZuoRAT on monivaiheinen tapaus, jonka ydintoimintojen ensimmäinen vaihe on suunniteltu keräämään tietoja laitteesta ja lähiverkosta, johon se on kytketty, mahdollistamaan verkkoliikenteen pakettikaappaus ja lähettämään tiedot takaisin komentoon. -ja ohjaus (C&C).
"Arvioimme, että tämän komponentin tarkoitus oli sopeuttaa uhkatekijä kohteena olevaan reitittimeen ja viereiseen lähiverkkoon määrittääksemme, säilytetäänkö pääsy", tutkijat huomauttivat.
He sanoivat, että tämän vaiheen toiminnot varmistavat, että vain yksi agentin esiintymä oli läsnä, ja suorittaa ydinvedos, joka voi tuottaa muistiin tallennettuja tietoja, kuten valtuustietoja, reititystaulukoita ja IP-taulukoita, sekä muita tietoja.
ZuoRAT sisältää myös toisen komponentin, joka koostuu apukomennoista, jotka lähetetään reitittimeen käytettäväksi toimijan valitsemana käyttämällä lisämoduuleja, jotka voidaan ladata tartunnan saaneelle laitteelle.
"Havaitsimme noin 2,500 XNUMX sulautettua toimintoa, jotka sisälsivät moduuleja salasanan ruiskuttamisesta USB-luetteloon ja koodin lisäämiseen", tutkijat kirjoittivat.
Tämä komponentti tarjoaa mahdollisuuden LAN-luetteloon, jonka avulla uhkatekijä voi laajentaa LAN-ympäristöä ja suorittaa DNS- ja HTTP-kaappauksia, joita voi olla vaikea havaita, he sanoivat.
Jatkuva uhka
Black Lotus analysoi VirusTotalin näytteitä ja omaa telemetriaansa päätelläkseen, että ZuoRAT on toistaiseksi vaarantanut noin 80 kohdetta.
Tunnettuja haavoittuvuuksia, joita on käytetty reitittimien käyttämiseen RAT:n levittämiseksi, ovat: CVE-2020-26878 ja CVE-2020-26879. Tarkemmin sanottuna uhkatekijät käyttivät Python-käännöstä Windows portable executable (PE) -tiedostoa, joka viittasi käsitteen todisteeseen nimeltä ruckus151021.py he sanoivat saadakseen valtuustiedot ja ladatakseen ZuoRATin.
ZuoRATin osoittamien ominaisuuksien ja käyttäytymisen vuoksi on erittäin todennäköistä, että ZuoRAT:n takana oleva uhkatekijä ei ole vain edelleen aktiivisesti kohdistanut laitteita, vaan on "elänyt havaitsematta kohdeverkkojen reunalla vuosia", tutkijat sanoivat.
Tämä on erittäin vaarallinen skenaario yritysverkoille ja muille organisaatioille, joissa etätyöntekijät muodostavat yhteyden laitteisiin, joihin vaikuttaa, yksi tietoturva-ammattilainen huomautti.
”SOHO-laiteohjelmistoa ei yleensä ole rakennettu turvallisuutta ajatellen, etenkään ennen pandemiaa laiteohjelmisto, jossa SOHO-reitittimet eivät olleet suuri hyökkäysvektori", sanoi Dahvid Schloss, kyberturvallisuusyrityksen hyökkäävän tietoturvatiimin johtaja. Porras, sähköpostitse Threatpostille.
Kun haavoittuva laite on vaarantunut, uhkatoimijoilla on vapaat kädet "syöksyä ja tököttää mitä tahansa laitetta, joka on kytketty" luotettuun yhteyteen, jonka he kaappaavat, hän sanoi.
"Sieltä voit yrittää käyttää välitysketjuja hyökkäyksien heittämiseen verkkoon tai vain valvoa kaikkea verkkoon tulevaa, ulos ja ympärillä olevaa liikennettä", Schloss sanoi.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- haavoittuvuuksia
- verkkosivuilla turvallisuus
- zephyrnet
