ZuoRAT व्यापक रूप से प्रयुक्त SOHO राउटर्स प्लेटोब्लॉकचैन डेटा इंटेलिजेंस पर कब्जा कर सकता है। लंबवत खोज। ऐ.

ZuoRAT व्यापक रूप से प्रयुक्त SOHO राउटर को अपने कब्जे में ले सकता है

टाइम स्टैम्प: 30 जून, 2022 दोपहर 1:20 बजे

सिस्को, नेटगियर और अन्य के उपकरण मल्टी-स्टेज मैलवेयर से जोखिम में हैं, जो अप्रैल 2020 से सक्रिय है और एक परिष्कृत खतरे वाले अभिनेता के काम को दर्शाता है।

एक उपन्यास मल्टीस्टेज रिमोट एक्सेस ट्रोजन (आरएटी) जो अप्रैल 2020 से सक्रिय है, सिस्को सिस्टम्स, नेटगियर, आसुस और अन्य के लोकप्रिय एसओएचओ राउटर्स को लक्षित करने के लिए ज्ञात कमजोरियों का फायदा उठा रहा है।

लुमेन टेक्नोलॉजीज के खतरे-खुफिया शाखा ब्लैक लोटस लैब्स के शोधकर्ताओं के मुताबिक, ज़ूओआरएटी नामक मैलवेयर, स्थानीय लैन तक पहुंच सकता है, डिवाइस पर प्रेषित पैकेट कैप्चर कर सकता है और डीएनएस और एचटीटीपीएस अपहरण के माध्यम से मैन-इन-द-मिडल हमलों को मंचित कर सकता है।

एसओएचओ डिवाइस से न केवल लैन पर कूदने की क्षमता और फिर आगे के हमलों से पता चलता है कि आरएटी एक राज्य प्रायोजित अभिनेता का काम हो सकता है, उन्होंने नोट किया एक ब्लॉग पोस्ट बुधवार को प्रकाशितइन्फोसेक इनसाइडर्स न्यूज़लैटरशोधकर्ताओं ने पोस्ट में लिखा, "इन दो तकनीकों के उपयोग ने एक खतरे वाले अभिनेता द्वारा उच्च स्तर के परिष्कार का प्रदर्शन किया, यह दर्शाता है कि यह अभियान संभवतः एक राज्य प्रायोजित संगठन द्वारा किया गया था।"

उन्होंने कहा कि हमलों में कमांड-एंड-कंट्रोल (सी एंड सी) के साथ संचार को कवर करने के लिए धमकी देने वाले अभिनेताओं का उपयोग "अधिक नहीं किया जा सकता" और यह भी इंगित करता है कि ज़ूओआरएटी पेशेवरों का काम है, उन्होंने कहा।

"सबसे पहले, संदेह से बचने के लिए, उन्होंने एक समर्पित वर्चुअल प्राइवेट सर्वर (वीपीएस) से प्रारंभिक शोषण को सौंप दिया, जिसने सौम्य सामग्री की मेजबानी की, "शोधकर्ताओं ने लिखा। "अगला, उन्होंने राउटर को प्रॉक्सी सीएक्सएनएक्सएक्स के रूप में लीवरेज किया जो राउटर-टू-राउटर संचार के माध्यम से सादे दृष्टि में छिप गया ताकि पता लगाने से बचा जा सके। और अंत में, उन्होंने पता लगाने से बचने के लिए समय-समय पर प्रॉक्सी राउटर को घुमाया।

महामारी अवसर

शोधकर्ताओं ने नाम दिया ट्रोजन धमकी देने वाले अभिनेताओं द्वारा उपयोग किए जाने वाले फ़ाइल नाम के कारण "बाएं" के लिए चीनी शब्द के बाद, "asdf.a।" नाम "लेफ्टहैंड होम कीज़ के कीबोर्ड वॉकिंग का सुझाव देता है," शोधकर्ताओं ने लिखा।

थ्रेट एक्टर्स ने आरएटी को तैनात किया, जो कि अक्सर अप्रकाशित SOHO उपकरणों का लाभ उठाने की संभावना रखते थे, जब COVID-19 महामारी फैलने के तुरंत बाद और कई श्रमिकों को आदेश दिया गया था घर से काम, जो खुला सुरक्षा खतरों के एक मेजबान, उन्होंने कहा।

"2020 के वसंत में दूरस्थ कार्य में तेजी से बदलाव ने नए नेटवर्क परिधि के सबसे कमजोर बिंदुओं को लक्षित करके पारंपरिक रक्षा-गहन सुरक्षा को नष्ट करने के लिए खतरे वाले अभिनेताओं के लिए एक नया अवसर प्रस्तुत किया - ऐसे उपकरण जो उपभोक्ताओं द्वारा नियमित रूप से खरीदे जाते हैं लेकिन शायद ही कभी निगरानी या पैच किए जाते हैं। , "शोधकर्ताओं ने लिखा। "अभिनेता एसओएचओ राउटर एक्सेस का लाभ उठा सकते हैं ताकि लक्ष्य नेटवर्क पर कम-पहचान की उपस्थिति बनाए रखी जा सके और लैन को स्थानांतरित करने वाली संवेदनशील जानकारी का फायदा उठाया जा सके।"

मल्टी-स्टेज अटैक

शोधकर्ताओं ने जो देखा, उसके अनुसार, ZuoRAT एक बहु-चरणीय मामला है, जिसमें डिवाइस और LAN के बारे में जानकारी एकत्र करने के लिए डिज़ाइन की गई मुख्य कार्यक्षमता का पहला चरण है, जिससे यह नेटवर्क ट्रैफ़िक के पैकेट कैप्चर को सक्षम करता है, और फिर जानकारी को वापस कमांड पर भेजता है। -और नियंत्रण (सी एंड सी)।

शोधकर्ताओं ने कहा, "हम इस घटक के उद्देश्य का आकलन करते हैं कि लक्षित राउटर और आसन्न लैन के लिए खतरे के अभिनेता को पहुंच बनाए रखना है या नहीं।"

उन्होंने कहा कि इस चरण में यह सुनिश्चित करने के लिए कार्यक्षमता है कि एजेंट का केवल एक उदाहरण मौजूद था, और एक कोर डंप करने के लिए जो मेमोरी में संग्रहीत डेटा जैसे क्रेडेंशियल्स, रूटिंग टेबल और आईपी टेबल, साथ ही अन्य जानकारी प्राप्त कर सकता था, उन्होंने कहा।

ZuoRAT में एक दूसरा घटक भी शामिल है जिसमें राउटर को भेजे गए सहायक कमांड शामिल हैं, जो अभिनेता के रूप में उपयोग करने के लिए अतिरिक्त मॉड्यूल का लाभ उठाकर चुनता है जिसे संक्रमित डिवाइस पर डाउनलोड किया जा सकता है।

"हमने लगभग 2,500 एम्बेडेड फ़ंक्शंस देखे, जिसमें पासवर्ड छिड़काव से लेकर यूएसबी एन्यूमरेशन और कोड इंजेक्शन तक के मॉड्यूल शामिल थे," शोधकर्ताओं ने लिखा।

उन्होंने कहा कि यह घटक लैन एन्यूमरेशन क्षमता के लिए क्षमता प्रदान करता है, जो खतरे के अभिनेता को लैन पर्यावरण को आगे बढ़ाने की अनुमति देता है और डीएनएस और एचटीटीपी अपहरण भी करता है, जिसका पता लगाना मुश्किल हो सकता है।

चल रहा खतरा

ब्लैक लोटस ने वायरसटोटल और अपने स्वयं के टेलीमेट्री से नमूनों का विश्लेषण किया ताकि यह निष्कर्ष निकाला जा सके कि अब तक लगभग 80 लक्ष्यों से समझौता किया गया है।

RAT को फैलाने के लिए राउटर तक पहुँचने के लिए शोषित ज्ञात कमजोरियों में शामिल हैं: CVE-2020-26878 और CVE-2020-26879. विशेष रूप से, धमकी देने वाले अभिनेताओं ने एक पायथन-संकलित विंडोज पोर्टेबल निष्पादन योग्य (पीई) फ़ाइल का उपयोग किया जो कि अवधारणा के प्रमाण को संदर्भित करता है जिसे कहा जाता है हंगामा151021.py क्रेडेंशियल हासिल करने और ZuoRAT लोड करने के लिए, उन्होंने कहा।

शोधकर्ताओं ने कहा कि ZuoRAT द्वारा प्रदर्शित क्षमताओं और व्यवहार के कारण, यह अत्यधिक संभावना है कि ZuoRAT के पीछे का खतरा अभिनेता अभी भी सक्रिय रूप से उपकरणों को लक्षित कर रहा है, बल्कि "वर्षों से लक्षित नेटवर्क के किनारे पर अनिर्धारित रह रहा है"।

यह कॉर्पोरेट नेटवर्क और अन्य संगठनों के लिए एक अत्यंत खतरनाक परिदृश्य प्रस्तुत करता है, जिसमें दूरस्थ कर्मचारी प्रभावित उपकरणों से जुड़ते हैं, एक सुरक्षा पेशेवर ने कहा।

"SOHO फर्मवेयर आमतौर पर सुरक्षा को ध्यान में रखकर नहीं बनाया गया है, विशेष रूप से पूर्व-महामारी फर्मवेयर जहां SOHO राउटर एक बड़ा हमला वेक्टर नहीं थे, ”दाहविद श्लॉस ने देखा, साइबर सुरक्षा फर्म के लिए आक्रामक सुरक्षा टीम का नेतृत्व टोली, थ्रेटपोस्ट को एक ईमेल में।

एक बार जब एक कमजोर डिवाइस से समझौता किया जाता है, तो धमकी देने वाले अभिनेताओं के पास उस विश्वसनीय कनेक्शन के लिए "जो भी डिवाइस जुड़ा होता है, उस पर प्रहार करने और ठेस लगाने" के लिए स्वतंत्र लगाम होती है, जिसे वे हाईजैक करते हैं।

"वहां से आप नेटवर्क में कारनामों को फेंकने के लिए प्रॉक्सीचेन का उपयोग करने का प्रयास कर सकते हैं या नेटवर्क के अंदर, बाहर और आसपास जाने वाले सभी ट्रैफ़िक की निगरानी कर सकते हैं," श्लॉस ने कहा।

समय टिकट:

से अधिक कमजोरियों