I dispositivi di Cisco, Netgear e altri sono a rischio a causa del malware multistadio, attivo da aprile 2020 e che mostra il lavoro di un sofisticato attore di minacce.
Un nuovo trojan di accesso remoto (RAT) multistadio attivo da aprile 2020 sfrutta vulnerabilità note per colpire i router SOHO popolari di Cisco Systems, Netgear, Asus e altri.
Il malware, soprannominato ZuoRAT, può accedere alla LAN locale, catturare i pacchetti trasmessi sul dispositivo e mettere in scena attacchi man-in-the-middle tramite dirottamento DNS e HTTPS, secondo i ricercatori del braccio di intelligence delle minacce di Lumen Technologies, Black Lotus Labs.
La capacità non solo di saltare su una LAN da un dispositivo SOHO e quindi mettere in scena ulteriori attacchi suggerisce che il RAT potrebbe essere il lavoro di un attore sponsorizzato dallo stato, hanno notato in un post sul blog pubblicato mercoledì.
"L'uso di queste due tecniche ha dimostrato in modo congruente un alto livello di sofisticatezza da parte di un attore di minacce, indicando che questa campagna è stata probabilmente eseguita da un'organizzazione sponsorizzata dallo stato", hanno scritto i ricercatori nel post.
Il livello di evasione utilizzato dagli attori delle minacce per nascondere la comunicazione con il comando e il controllo (C&C) negli attacchi "non può essere sopravvalutato" e indica anche che ZuoRAT è opera di professionisti, hanno affermato.
"In primo luogo, per evitare sospetti, hanno passato l'exploit iniziale da un server privato virtuale (VPS) dedicato che ospitava contenuti benigni", hanno scritto i ricercatori. “Successivamente, hanno sfruttato i router come proxy C2 che si nascondevano in bella vista attraverso la comunicazione router-to-router per evitare ulteriormente il rilevamento. E infine, ruotavano periodicamente i router proxy per evitare il rilevamento".
Opportunità pandemica
I ricercatori hanno chiamato il trojan dopo la parola cinese per "sinistra" a causa del nome del file utilizzato dagli attori delle minacce, "asdf.a." Il nome "suggerisce di camminare sulla tastiera dei tasti home di sinistra", hanno scritto i ricercatori.
Gli attori della minaccia hanno distribuito il RAT probabilmente per trarre vantaggio da dispositivi SOHO spesso privi di patch poco dopo lo scoppio della pandemia di COVID-19 e a molti lavoratori è stato ordinato di lavorare da casa, quale aperto una serie di minacce alla sicurezza, hanno detto.
“Il rapido passaggio al lavoro da remoto nella primavera del 2020 ha rappresentato una nuova opportunità per gli attori delle minacce di sovvertire le tradizionali protezioni di difesa in profondità prendendo di mira i punti più deboli del nuovo perimetro di rete: dispositivi che vengono regolarmente acquistati dai consumatori ma raramente monitorati o riparati ”, hanno scritto i ricercatori. "Gli attori possono sfruttare l'accesso al router SOHO per mantenere una presenza a basso rilevamento sulla rete di destinazione e sfruttare le informazioni sensibili che transitano sulla LAN".
Attacco multistadio
Da quanto osservato dai ricercatori, ZuoRAT è un affare a più stadi, con la prima fase della funzionalità di base progettata per raccogliere informazioni sul dispositivo e sulla LAN a cui è connesso, abilitare l'acquisizione di pacchetti del traffico di rete e quindi inviare le informazioni al comando -e-controllo (C&C).
"Valutiamo che lo scopo di questo componente fosse quello di acclimatare l'attore della minaccia al router mirato e alla LAN adiacente per determinare se mantenere l'accesso", hanno osservato i ricercatori.
Questa fase ha funzionalità per garantire che fosse presente solo una singola istanza dell'agente e per eseguire un core dump che potrebbe produrre dati archiviati in memoria come credenziali, tabelle di routing e tabelle IP, nonché altre informazioni, hanno affermato.
ZuoRAT include anche un secondo componente composto da comandi ausiliari inviati al router per essere utilizzati come l'attore sceglie, sfruttando moduli aggiuntivi che possono essere scaricati sul dispositivo infetto.
"Abbiamo osservato circa 2,500 funzioni integrate, che includevano moduli che vanno dalla spruzzatura di password all'enumerazione USB e all'iniezione di codice", hanno scritto i ricercatori.
Questo componente fornisce funzionalità per la capacità di enumerazione LAN, che consente all'attore delle minacce di estendere ulteriormente l'ambito dell'ambiente LAN ed eseguire anche il dirottamento DNS e HTTP, che può essere difficile da rilevare, hanno affermato.
Minaccia in corso
Black Lotus ha analizzato campioni di VirusTotal e della propria telemetria per concludere che circa 80 obiettivi finora sono stati compromessi da ZuoRAT.
Le vulnerabilità note sfruttate per accedere ai router per diffondere il RAT includono: CVE-2020-26878 ed CVE-2020-26879. In particolare, gli attori delle minacce hanno utilizzato un file PE (Portable Executable) di Windows compilato in Python che faceva riferimento a un proof of concept chiamato ruckus151021.py per ottenere credenziali e caricare ZuoRAT, hanno detto.
A causa delle capacità e del comportamento dimostrati da ZuoRAT, è molto probabile che non solo l'attore delle minacce dietro ZuoRAT stia ancora prendendo di mira i dispositivi, ma abbia "vissuto inosservato ai margini di reti mirate per anni", hanno affermato i ricercatori.
Questo presenta uno scenario estremamente pericoloso per le reti aziendali e altre organizzazioni con lavoratori remoti che si connettono ai dispositivi interessati, ha osservato un professionista della sicurezza.
“Il firmware SOHO in genere non è creato pensando alla sicurezza, soprattutto pre-pandemia firmware in cui i router SOHO non erano un grande vettore di attacco", ha osservato Dahvid Schloss, responsabile del team di sicurezza offensiva per l'azienda di sicurezza informatica Scaglione, in un'e-mail a Threatpost.
Una volta che un dispositivo vulnerabile è stato compromesso, gli attori delle minacce hanno quindi libero sfogo "per colpire e pungolare qualsiasi dispositivo è connesso" alla connessione fidata che dirottano, ha affermato.
"Da lì potresti tentare di utilizzare le proxychain per lanciare exploit nella rete o semplicemente monitorare tutto il traffico in entrata, in uscita e intorno alla rete", ha affermato Schloss.
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
