מכשירים מ-Cisco, Netgear ואחרים בסיכון מהתוכנה הזדונית הרב-שלבית, שפעילה מאז אפריל 2020 ומציגה את עבודתו של שחקן איום מתוחכם.
טרויאני גישה מרחוק מרחוק (RAT) חדשני שפעיל מאז אפריל 2020 מנצל נקודות תורפה ידועות כדי לכוון לנתבי SOHO פופולריים מ-Cisco Systems, Netgear, Asus ואחרים.
התוכנה הזדונית, המכונה ZuoRAT, יכולה לגשת ל-LAN המקומי, ללכוד מנות המועברות במכשיר ולשלב התקפות אדם-באמצע באמצעות חטיפת DNS ו-HTTPS, כך לפי חוקרים מזרוע מודיעין האיומים של Lumen Technologies Black Lotus Labs.
היכולת לא רק לקפוץ לרשת LAN ממכשיר SOHO ואז לביים התקפות נוספות מעידה על כך שה-RAT עשוי להיות עבודה של שחקן בחסות המדינה, הם ציינו ב בלוג פורסם ביום רביעי.
"השימוש בשתי הטכניקות הללו הוכיח באופן תואם רמה גבוהה של תחכום על ידי שחקן איום, מה שמצביע על כך שהקמפיין הזה בוצע אולי על ידי ארגון בחסות המדינה", כתבו החוקרים בפוסט.
"לא ניתן להפריז ברמת ההתחמקות שבה משתמשים גורמי האיום כדי לכסות תקשורת עם פיקוד ושליטה (C&C) בהתקפות, וגם מצביעה על כך ש-ZuRAT היא עבודתם של אנשי מקצוע, לדבריהם.
"ראשית, כדי למנוע חשד, הם מסרו את הניצול הראשוני משרת וירטואלי פרטי (VPS) ייעודי שמארח תוכן שפיר", כתבו החוקרים. "לאחר מכן, הם מינפו נתבים כ-Proxy C2s שהתחבאו לעין דרך תקשורת נתב לנתב כדי למנוע עוד יותר זיהוי. ולבסוף, הם החליפו נתבי פרוקסי מעת לעת כדי למנוע זיהוי."
הזדמנות מגיפה
חוקרים כינו את טרויאני אחרי המילה הסינית ל"שמאל" בגלל שם הקובץ ששימשו את שחקני האיום, "asdf.a." השם "מרמז על הליכה במקלדת של מקשי הבית השמאליים", כתבו החוקרים.
שחקני איומים פרסו את ה-RAT, ככל הנראה לנצל את מכשירי ה-SOHO לעתים קרובות לא מתוקנים זמן קצר לאחר פרוץ מגיפת ה-COVID-19 ועובדים רבים הצטוו לבצע לעבוד מהבית, אשר נפתח שורה של איומי אבטחה, הם אמרו.
"המעבר המהיר לעבודה מרחוק באביב 2020 הציג הזדמנות חדשה עבור שחקני איומים לחתור תחת הגנות הגנה מעמיקות מסורתיות על ידי התמקדות בנקודות החלשות ביותר של היקף הרשת החדש - מכשירים אשר נרכשים באופן שגרתי על ידי צרכנים, אך לעיתים רחוקות מנוטרים או מתוקנים. ", כתבו חוקרים. "שחקנים יכולים למנף את גישת הנתב של SOHO כדי לשמור על נוכחות זיהוי נמוכה ברשת היעד ולנצל מידע רגיש המעביר את ה-LAN."
התקפה רב-שלבית
לפי מה שצפו החוקרים, ZuoRAT הוא עניין רב-שלבי, כאשר השלב הראשון של פונקציונליות הליבה נועד לאסוף מידע על המכשיר וה-LAN אליו הוא מחובר, לאפשר לכידת מנות של תעבורת רשת, ולאחר מכן לשלוח את המידע בחזרה לפקודה -and-control (C&C).
"אנו מעריכים שמטרת הרכיב הזה הייתה להתאים את שחקן האיום לנתב הממוקד ולרשת ה-LAN הסמוכה כדי לקבוע אם לשמור על גישה", ציינו החוקרים.
לשלב הזה יש פונקציונליות להבטיח שרק מופע בודד של הסוכן היה נוכח, ולבצע dump הליבה שיכול להניב נתונים המאוחסנים בזיכרון כגון אישורים, טבלאות ניתוב וטבלאות IP, כמו גם מידע אחר, הם אמרו.
ZuoRAT כולל גם רכיב שני המורכב מפקודות עזר הנשלחות לנתב לשימוש כפי שהשחקן בוחר על ידי מינוף מודולים נוספים שניתן להוריד למכשיר הנגוע.
"צפינו בכ-2,500 פונקציות משובצות, שכללו מודולים החל מריסוס סיסמאות ועד ספירת USB והזרקת קוד", כתבו החוקרים.
רכיב זה מספק יכולת ספירת LAN, המאפשרת לשחקן האיום להמשיך ולרחף את סביבת ה-LAN וגם לבצע חטיפת DNS ו-HTTP, דבר שעלול להיות קשה לזיהוי.
איום מתמשך
בלאק לוטוס ניתח דגימות מ-VirusTotal ומהטלמטריה שלה כדי להגיע למסקנה שכ-80 מטרות עד כה נפגעו על ידי ZuoRAT.
נקודות תורפה ידועות שניצלו לגישה לנתבים כדי להפיץ את ה-RAT כוללות: CVE-2020-26878 ו CVE-2020-26879. באופן ספציפי, שחקני איומים השתמשו בקובץ הפעלה נייד (PE) של Windows שהורכב לפייתון שהתייחס להוכחת מושג בשם ruckus151021.py כדי להשיג אישורים ולטעון את ZuoRAT, הם אמרו.
בשל היכולות וההתנהגות שהפגינו ZuoRAT, סביר להניח שלא רק ששחקן האיום מאחורי ZuoRAT עדיין מכוון באופן פעיל למכשירים, אלא שהוא "חי ללא זיהוי בקצה של רשתות ממוקדות במשך שנים", אמרו חוקרים.
זה מציג תרחיש מסוכן ביותר עבור רשתות ארגוניות וארגונים אחרים עם עובדים מרוחקים שמתחברים למכשירים מושפעים, ציין איש אבטחה אחד.
"קושחת SOHO בדרך כלל לא בנויה עם מחשבה על אבטחה, במיוחד טרום מגיפה קושחה שבה נתבי SOHO לא היו וקטור התקפה גדול", ציין דהוויד שלוס, ראש צוות אבטחה התקפי של חברת אבטחת סייבר דרג, באימייל ל-Threatpost.
ברגע שמכשיר פגיע נפגע, לשחקני האיומים יש דרור חופשי "לחטט ולדרבן בכל מכשיר שמחובר" לחיבור המהימן שהם חוטפים, אמר.
"משם אתה יכול לנסות להשתמש ב-proxychains כדי לזרוק ניצולים לרשת או פשוט לנטר את כל התעבורה שנכנסת, יוצאת ומסביב לרשת", אמר שלוס.
