ZuoRAT Dapat Mengambil alih Router SOHO yang Banyak Digunakan

Trojan akses jarak jauh (RAT) multistage baru yang telah aktif sejak April 2020 mengeksploitasi kerentanan yang diketahui untuk menargetkan router SOHO populer dari Cisco Systems, Netgear, Asus, dan lainnya.

Malware, dijuluki ZuoRAT, dapat mengakses LAN lokal, menangkap paket yang dikirimkan pada perangkat dan melakukan serangan man-in-the-middle melalui pembajakan DNS dan HTTPS, menurut para peneliti dari lengan intelijen ancaman Lumen Technologies, Black Lotus Labs.

Kemampuan untuk tidak hanya melompat ke LAN dari perangkat SOHO dan kemudian melakukan serangan lebih lanjut menunjukkan bahwa RAT mungkin merupakan pekerjaan aktor yang disponsori negara, mereka mencatat dalam posting blog diterbitkan Rabu.“Penggunaan kedua teknik ini secara bersamaan menunjukkan tingkat kecanggihan yang tinggi oleh aktor ancaman, yang menunjukkan bahwa kampanye ini mungkin dilakukan oleh organisasi yang disponsori negara,” tulis para peneliti dalam posting tersebut.

Tingkat penghindaran yang digunakan pelaku ancaman untuk menutupi komunikasi dengan perintah-dan-kontrol (C&C) dalam serangan “tidak dapat dilebih-lebihkan” dan juga menunjukkan ZuoRAT sebagai pekerjaan profesional, kata mereka.

"Pertama, untuk menghindari kecurigaan, mereka memberikan eksploitasi awal dari server pribadi virtual (VPS) khusus yang menghosting konten jinak, ”tulis para peneliti. “Selanjutnya, mereka memanfaatkan router sebagai proxy C2 yang bersembunyi di depan mata melalui komunikasi router-ke-router untuk menghindari deteksi lebih lanjut. Dan akhirnya, mereka merotasi router proxy secara berkala untuk menghindari deteksi.”

Peluang Pandemi

Peneliti menamakan trojan setelah kata Cina untuk "kiri" karena nama file yang digunakan oleh aktor ancaman, "asdf.a." Nama "menyarankan keyboard berjalan dari tombol rumah kiri," tulis para peneliti.

Pelaku ancaman menyebarkan RAT yang kemungkinan akan memanfaatkan perangkat SOHO yang sering tidak ditambal tak lama setelah pandemi COVID-19 merebak dan banyak pekerja diperintahkan untuk bekerja dari rumah, yang membuka sejumlah ancaman keamanan, kata mereka.

“Pergeseran cepat ke pekerjaan jarak jauh pada musim semi 2020 menghadirkan peluang baru bagi pelaku ancaman untuk menumbangkan perlindungan tradisional yang mendalam dengan menargetkan titik terlemah dari perimeter jaringan baru — perangkat yang secara rutin dibeli oleh konsumen tetapi jarang dipantau atau ditambal. ,” tulis para peneliti. “Aktor dapat memanfaatkan akses router SOHO untuk mempertahankan kehadiran deteksi rendah di jaringan target dan mengeksploitasi informasi sensitif yang melewati LAN.”

Serangan Multi-Tahap

Dari apa yang peneliti amati, ZuoRAT adalah urusan multi-tahap, dengan tahap pertama fungsionalitas inti yang dirancang untuk mengumpulkan informasi tentang perangkat dan LAN yang terhubung, mengaktifkan pengambilan paket lalu lintas jaringan, dan kemudian mengirim info kembali ke perintah -dan-kontrol (C&C).

“Kami menilai tujuan dari komponen ini adalah untuk menyesuaikan aktor ancaman dengan router yang ditargetkan dan LAN yang berdekatan untuk menentukan apakah akan mempertahankan akses,” catat para peneliti.

Tahap ini memiliki fungsi untuk memastikan hanya satu contoh agen yang hadir, dan untuk melakukan dump inti yang dapat menghasilkan data yang disimpan dalam memori seperti kredensial, tabel perutean dan tabel IP, serta info lainnya, kata mereka.

ZuoRAT juga menyertakan komponen kedua yang terdiri dari perintah tambahan yang dikirim ke router untuk digunakan sebagai aktor yang dipilih dengan memanfaatkan modul tambahan yang dapat diunduh ke perangkat yang terinfeksi.

“Kami mengamati sekitar 2,500 fungsi yang disematkan, yang mencakup modul mulai dari penyemprotan kata sandi hingga enumerasi USB dan injeksi kode,” tulis para peneliti.

Komponen ini menyediakan kemampuan untuk kemampuan enumerasi LAN, yang memungkinkan pelaku ancaman untuk lebih jauh menjangkau lingkungan LAN dan juga melakukan pembajakan DNS dan HTTP, yang mungkin sulit dideteksi, kata mereka.

Ancaman Berkelanjutan

Black Lotus menganalisis sampel dari VirusTotal dan telemetrinya sendiri untuk menyimpulkan bahwa sekitar 80 target sejauh ini telah disusupi oleh ZuoRAT.

Kerentanan yang diketahui dieksploitasi untuk mengakses router untuk menyebarkan RAT meliputi: CVE-2020-26878 dan CVE-2020-26879. Secara khusus, pelaku ancaman menggunakan file Windows portable executable (PE) yang dikompilasi Python yang mereferensikan bukti konsep yang disebut keributan151021.py untuk mendapatkan kredensial dan memuat ZuoRAT, kata mereka.

Karena kemampuan dan perilaku yang ditunjukkan oleh ZuoRAT, kemungkinan besar tidak hanya pelaku ancaman di balik ZuoRAT yang masih aktif menargetkan perangkat, tetapi telah "hidup tanpa terdeteksi di tepi jaringan yang ditargetkan selama bertahun-tahun," kata para peneliti.

Ini menghadirkan skenario yang sangat berbahaya untuk jaringan perusahaan dan organisasi lain dengan pekerja jarak jauh yang terhubung ke perangkat yang terpengaruh, catat seorang profesional keamanan.

“Firmware SOHO biasanya tidak dibuat dengan mempertimbangkan keamanan, terutama sebelum pandemi firmware di mana router SOHO bukanlah vektor serangan yang besar,” kata Dahvid Schloss, pemimpin tim keamanan ofensif untuk perusahaan keamanan siber Eselon, dalam email ke Threatpost.

Setelah perangkat yang rentan disusupi, pelaku ancaman kemudian memiliki kebebasan untuk "menyodok dan mendorong perangkat apa pun yang terhubung" ke koneksi tepercaya yang mereka bajak, katanya.

“Dari sana Anda dapat mencoba menggunakan rantai proxy untuk melemparkan eksploitasi ke dalam jaringan atau hanya memantau semua lalu lintas yang masuk, keluar, dan di sekitar jaringan,” kata Schloss.