Enheter fra Cisco, Netgear og andre som er utsatt for flertrinns skadevare, som har vært aktiv siden april 2020 og viser arbeidet til en sofistikert trusselaktør.
En ny flertrinns fjerntilgangstrojaner (RAT) som har vært aktiv siden april 2020, utnytter kjente sårbarheter for å målrette mot populære SOHO-rutere fra Cisco Systems, Netgear, Asus og andre.
Skadevaren, kalt ZuoRAT, kan få tilgang til det lokale LAN, fange opp pakker som overføres på enheten og iscenesette man-in-the-midten-angrep gjennom DNS- og HTTPS-kapring, ifølge forskere fra Lumen Technologies' trusselintelligensarm Black Lotus Labs.
Evnen til å ikke bare hoppe på et LAN fra en SOHO-enhet og deretter iscenesette ytterligere angrep antyder at RAT kan være arbeidet til en statsstøttet skuespiller, bemerket de i et blogginnlegg publisert onsdag.
"Bruken av disse to teknikkene demonstrerte kongruent et høyt sofistikert nivå av en trusselaktør, noe som indikerer at denne kampanjen muligens ble utført av en statsstøttet organisasjon," skrev forskere i innlegget.
Nivået av unndragelse som trusselaktører bruker for å dekke over kommunikasjon med kommando-og-kontroll (C&C) i angrepene "kan ikke overvurderes" og peker også på at ZuoRAT er arbeidet til profesjonelle, sa de.
"For det første, for å unngå mistanke, overleverte de den første utnyttelsen fra en dedikert virtuell privat server (VPS) som var vert for godartet innhold," skrev forskere. "Deretter utnyttet de rutere som proxy-C2-er som gjemte seg synlig gjennom ruter-til-ruter-kommunikasjon for ytterligere å unngå gjenkjenning. Og til slutt roterte de proxy-rutere med jevne mellomrom for å unngå oppdagelse.»
Pandemisk mulighet
Forskere kalte trojan etter det kinesiske ordet for "venstre" på grunn av filnavnet brukt av trusselaktørene, "asdf.a." Navnet "antyder at de venstre hjemmetastene går på tastaturet," skrev forskere.
Trusselaktører satte inn RAT som sannsynligvis ville dra nytte av ofte uoppdaterte SOHO-enheter kort tid etter at COVID-19-pandemien brøt ut og mange arbeidere ble beordret til å jobbe hjemmefra, Som åpnet opp en rekke sikkerhetstrusler, sa de.
"Det raske skiftet til fjernarbeid våren 2020 ga en ny mulighet for trusselaktører til å undergrave tradisjonelle dybdebeskyttelse ved å målrette mot de svakeste punktene i den nye nettverksperimeteren - enheter som rutinemessig kjøpes av forbrukere, men som sjelden overvåkes eller lappes ", skrev forskere. "Skuespillere kan utnytte SOHO-rutertilgang for å opprettholde en lav-deteksjons-tilstedeværelse på målnettverket og utnytte sensitiv informasjon som passerer LAN."
Flertrinnsangrep
Fra det forskere har observert, er ZuoRAT en flertrinns affære, med det første trinnet av kjernefunksjonalitet designet for å samle informasjon om enheten og LANet som den er koblet til, aktivere pakkefangst av nettverkstrafikk, og deretter sende informasjonen tilbake til kommandoen. -og-kontroll (C&C).
"Vi vurderer at hensikten med denne komponenten var å akklimatisere trusselaktøren til den målrettede ruteren og det tilstøtende LAN for å avgjøre om tilgangen skal opprettholdes," bemerket forskere.
Dette stadiet har funksjonalitet for å sikre at bare en enkelt forekomst av agenten var til stede, og for å utføre en kjernedump som kan gi data lagret i minnet som legitimasjon, rutingtabeller og IP-tabeller, samt annen informasjon, sa de.
ZuoRAT inkluderer også en andre komponent som består av hjelpekommandoer sendt til ruteren for bruk som aktøren velger ved å utnytte tilleggsmoduler som kan lastes ned til den infiserte enheten.
"Vi observerte omtrent 2,500 innebygde funksjoner, som inkluderte moduler som spenner fra passordspraying til USB-oppregning og kodeinjeksjon," skrev forskere.
Denne komponenten gir mulighet for LAN-oppregningsevne, som lar trusselaktøren utvide LAN-miljøet ytterligere og også utføre DNS- og HTTP-kapring, som kan være vanskelig å oppdage, sa de.
Pågående trussel
Black Lotus analyserte prøver fra VirusTotal og sin egen telemetri for å konkludere med at rundt 80 mål så langt har blitt kompromittert av ZuoRAT.
Kjente sårbarheter som utnyttes for å få tilgang til rutere for å spre RAT inkluderer: CVE-2020-26878 og CVE-2020-26879. Spesielt brukte trusselaktører en Python-kompilert Windows portable executable (PE) fil som refererte til et proof of concept kalt ruckus151021.py for å få legitimasjon og laste ZuoRAT, sa de.
På grunn av evnene og oppførselen demonstrert av ZuoRAT, er det høyst sannsynlig at ikke bare trusselaktøren bak ZuoRAT fortsatt aktivt retter seg mot enheter, men har "levd uoppdaget på kanten av målrettede nettverk i årevis," sa forskere.
Dette presenterer et ekstremt farlig scenario for bedriftsnettverk og andre organisasjoner med eksterne arbeidere som kobler til berørte enheter, bemerket en sikkerhetsekspert.
"SOHO-firmware er vanligvis ikke bygget med sikkerhet i tankene, spesielt pre-pandemi fastvare der SOHO-rutere ikke var en stor angrepsvektor,» observerte Dahvid Schloss, leder for offensivt sikkerhetsteam for cybersikkerhetsfirmaet Echelon, i en e-post til Threatpost.
Når en sårbar enhet er kompromittert, har trusselaktørene frie tøyler "til å stikke og stikke på hvilken som helst enhet som er koblet" til den pålitelige forbindelsen de kaprer, sa han.
"Derfra kan du prøve å bruke proxy-kjeder for å kaste utnyttelser inn i nettverket eller bare overvåke all trafikken som går inn, ut og rundt nettverket," sa Schloss.
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- Sikkerhetsproblemer
- nettside sikkerhet
- zephyrnet
