A Cisco, Netgear és mások eszközei, amelyeket a többlépcsős malware veszélyeztet, amely 2020 áprilisa óta aktív, és egy kifinomult fenyegetőző munkáját mutatja be.
Egy 2020 áprilisa óta működő új, többlépcsős távoli hozzáférésű trójai (RAT) az ismert sebezhetőségeket kihasználva célozza meg a Cisco Systems, Netgear, Asus és mások népszerű SOHO útválasztóit.
A Lumen Technologies Black Lotus Labs fenyegetés-intelligencia részlegének kutatói szerint a ZuoRAT névre keresztelt rosszindulatú program hozzáférhet a helyi LAN-hoz, rögzítheti az eszközön továbbított csomagokat, és DNS- és HTTPS-eltérítésen keresztül ember-in-the-middle támadásokat indíthat el.
Az a képesség, hogy egy SOHO-eszközről ne csak egy LAN-ra ugorjon, majd további támadásokat indítson, arra utal, hogy a RAT egy államilag szponzorált szereplő munkája lehet. egy blogbejegyzés szerdán megjelent.
"E két technika alkalmazása egybehangzóan a fenyegetés szereplőinek magas szintű kifinomultságát mutatta, ami arra utal, hogy ezt a kampányt valószínűleg egy államilag támogatott szervezet végezte" - írták a kutatók a bejegyzésben.
Azt mondták, hogy a fenyegetés szereplői a támadások során a parancsnoki és irányítási rendszerrel (C&C) folytatott kommunikáció elfedésére használt kijátszás mértékét „nem lehet túlbecsülni”, és arra is utal, hogy a ZuoRAT szakemberek munkája.
"Először is, hogy elkerüljék a gyanút, egy dedikált virtuális privát szerverről (VPS) adták át a kezdeti kizsákmányolást, amely jóindulatú tartalmat tárolt” – írták a kutatók. „Ezután a routereket proxy C2-ként használták fel, amelyek jól láthatóak voltak a router-router kommunikáció révén, hogy elkerüljék az észlelést. Végül pedig időnként forgatták a proxy routereket, hogy elkerüljék az észlelést.”
Pandémiás lehetőség
A kutatók a trójai a „bal” kínai szó után a fenyegető szereplők által használt fájlnév miatt: „asdf.a”. A név „a bal oldali otthoni billentyűk billentyűzetének járására utal” – írták a kutatók.
A fenyegető szereplők nem sokkal azután telepítették be a RAT-ot, hogy kihasználják a gyakran javítatlan SOHO-eszközöket, röviddel azután, hogy a COVID-19 világjárvány kitört, és sok dolgozót arra utasítottak. otthonról dolgozni, Amely megnyitotta számos biztonsági fenyegetés – mondták.
„A 2020 tavaszi távmunkára való gyors átállás új lehetőséget kínált a fenyegetés szereplői számára, hogy felforgatják a hagyományos, mélyreható védelmet az új hálózati perem leggyengébb pontjainak megcélzásával – olyan eszközökkel, amelyeket a fogyasztók rendszeresen vásárolnak, de ritkán figyelnek vagy javítanak. ” – írták a kutatók. "A szereplők kihasználhatják a SOHO router-hozzáférést, hogy fenntartsák az alacsony észlelési fokú jelenlétet a célhálózaton, és kihasználják a LAN-on áthaladó érzékeny információkat."
Többlépcsős támadás
A kutatók megfigyelései szerint a ZuoRAT egy többlépcsős ügy, az alapfunkciók első szakaszát úgy tervezték, hogy információkat gyűjtsön az eszközről és a LAN-ról, amelyhez csatlakozik, lehetővé tegye a hálózati forgalom csomagos rögzítését, majd az információkat visszaküldi a parancsnak. -és-vezérlés (C&C).
„Azt értékeltük, hogy ennek az összetevőnek a célja az volt, hogy hozzászoktassuk a fenyegető szereplőt a megcélzott útválasztóhoz és a szomszédos LAN-hoz, hogy megállapítsuk, fenntartják-e a hozzáférést” – jegyezték meg a kutatók.
Ez a szakasz olyan funkciókkal rendelkezik, amelyek biztosítják, hogy az ügynöknek csak egyetlen példánya legyen jelen, és olyan magkiíratást hajtson végre, amely a memóriában tárolt adatokat, például hitelesítő adatokat, útválasztási táblákat és IP-táblákat, valamint egyéb információkat eredményezhet.
A ZuoRAT tartalmaz egy második komponenst is, amely az útválasztónak küldött segédparancsokból áll, amelyeket a fertőzött eszközre letölthető további modulok felhasználásával a szereplő választ ad.
„Körülbelül 2,500 beágyazott funkciót figyeltünk meg, amelyek a jelszószórással az USB-felsorolásig és a kódbefecskendezésig terjedő modulokat tartalmaztak” – írták a kutatók.
Ez az összetevő LAN-felsorolási képességet biztosít, amely lehetővé teszi a fenyegetettség számára a LAN-környezet további hatókörét, valamint DNS- és HTTP-eltérítést, amelyet nehéz lehet észlelni.
Folyamatos fenyegetés
A Black Lotus a VirusTotal és saját telemetriájának mintáit elemezte, és arra a következtetésre jutott, hogy a ZuoRAT eddig mintegy 80 célpontot veszélyeztetett.
A RAT terjesztése érdekében az útválasztókhoz való hozzáféréshez használt ismert biztonsági rések a következők: CVE-2020 26878- és a CVE-2020 26879-. Konkrétan a fenyegetés szereplői egy Python által lefordított Windows hordozható végrehajtható (PE) fájlt használtak, amely az ún. ruckus151021.py hitelesítő adatok megszerzéséhez és a ZuoRAT betöltéséhez – mondták.
A ZuoRAT képességei és viselkedése miatt nagyon valószínű, hogy a ZuoRAT mögött álló fenyegetés még mindig aktívan célozza meg az eszközöket, hanem „évek óta észrevétlenül él a célzott hálózatok peremén” – mondták a kutatók.
Ez rendkívül veszélyes forgatókönyvet jelent a vállalati hálózatok és más szervezetek számára, ahol távoli dolgozók csatlakoznak az érintett eszközökhöz – jegyezte meg egy biztonsági szakember.
„A SOHO firmware-e általában nem a biztonságot szem előtt tartva készül, különösen pandémia előtti firmware, ahol a SOHO routerek nem voltak nagy támadási vektorok” – jegyezte meg Dahvid Schloss, a kiberbiztonsági cég támadó biztonsági csapatának vezetője. Lépcső, a Threatpostnak küldött e-mailben.
Amint egy sérülékeny eszközt feltörnek, a fenyegetés szereplői szabad kezet kapnak, hogy „bármilyen eszközt megbökjenek és rádöbbenjenek” az általuk eltérített megbízható kapcsolatra.
"Onnantól kezdve megpróbálhat proxyláncokat használni, hogy kihasználja a hálózatot, vagy csak figyelje a hálózatba be-, kimenő és a hálózat körüli forgalmat" - mondta Schloss.
