ZuoRAT może przejąć szeroko stosowane routery SOHO

Nowatorski wieloetapowy trojan zdalnego dostępu (RAT), który jest aktywny od kwietnia 2020 r., wykorzystuje znane luki w zabezpieczeniach, aby atakować popularne routery SOHO firm Cisco Systems, Netgear, Asus i innych.

Złośliwy program, nazwany ZuoRAT, może uzyskać dostęp do lokalnej sieci LAN, przechwytywać pakiety przesyłane na urządzenie i przeprowadzać ataki typu man-in-the-middle za pośrednictwem przechwytywania DNS i HTTPS, według naukowców z Black Lotus Labs zajmującego się analizą zagrożeń z Lumen Technologies.

Zdolność nie tylko przeskakiwania do sieci LAN z urządzenia SOHO, a następnie przeprowadzania dalszych ataków sugeruje, że RAT może być dziełem sponsorowanego przez państwo aktora, zauważyli w blogu opublikowany w środę.„Stosowanie tych dwóch technik w sposób kongruentny wykazało wysoki poziom zaawansowania przez cyberprzestępcę, co wskazuje, że ta kampania została prawdopodobnie przeprowadzona przez organizację sponsorowaną przez państwo” – napisali badacze w poście.

Poziom unikania, którego używają cyberprzestępcy do ukrywania komunikacji z systemem dowodzenia i kontroli (C&C) podczas ataków, „nie można przecenić”, a także wskazuje, że ZuoRAT jest dziełem profesjonalistów.

"Po pierwsze, aby uniknąć podejrzeń, przekazali początkowy exploit z dedykowanego wirtualnego serwera prywatnego (VPS), który hostował niegroźne treści” – napisali badacze. „Następnie wykorzystali routery jako serwery proxy C2, które ukrywały się na widoku za pośrednictwem komunikacji router-router, aby jeszcze bardziej uniknąć wykrycia. I wreszcie, co jakiś czas zmieniali routery proxy, aby uniknąć wykrycia”.

Szansa na pandemię

Naukowcy nazwali trojański po chińskim słowie „left” ze względu na nazwę pliku używaną przez cyberprzestępców, „asdf.a”. Nazwa „sugeruje chodzenie po klawiaturze lewego klawisza domowego” – napisali naukowcy.

Podmioty zajmujące się zagrożeniami rozmieściły RAT, prawdopodobnie korzystając z często niezałatanych urządzeń SOHO wkrótce po wybuchu pandemii COVID-19 i nakazaniu wielu pracownikom Praca w domu, który otwarte wielu zagrożeń bezpieczeństwa, powiedzieli.

„Gwałtowne przejście na pracę zdalną wiosną 2020 roku stworzyło nową okazję dla cyberprzestępców do obalenia tradycyjnych, dogłębnych zabezpieczeń, skupiając się na najsłabszych punktach nowej granicy sieci — urządzeniach, które są rutynowo kupowane przez konsumentów, ale rzadko monitorowane lub łatane ”, napisali badacze. „Aktorzy mogą wykorzystać dostęp do routera SOHO, aby utrzymać niską wykrywalność w sieci docelowej i wykorzystywać poufne informacje przesyłane przez sieć LAN”.

Atak wieloetapowy

Z tego, co zaobserwowali naukowcy, ZuoRAT jest przedsięwzięciem wieloetapowym, z pierwszym etapem podstawowej funkcjonalności zaprojektowanym do zbierania informacji o urządzeniu i sieci LAN, do której jest podłączony, umożliwia przechwytywanie pakietów ruchu sieciowego, a następnie wysyłanie informacji z powrotem do komendy i kontroli (C&C).

„Oceniamy, że celem tego komponentu było przystosowanie aktora zagrożenia do docelowego routera i sąsiedniej sieci LAN w celu ustalenia, czy zachować dostęp” – zauważyli badacze.

Ten etap ma funkcjonalność zapewniającą obecność tylko jednej instancji agenta i wykonanie zrzutu pamięci, który może dostarczyć dane przechowywane w pamięci, takie jak poświadczenia, tabele routingu i tabele IP, a także inne informacje.

ZuoRAT zawiera również drugi komponent składający się z poleceń pomocniczych wysyłanych do routera do wykorzystania przez aktora, który wybiera, wykorzystując dodatkowe moduły, które można pobrać na zainfekowane urządzenie.

„Zaobserwowaliśmy około 2,500 wbudowanych funkcji, które obejmowały moduły, od rozpylania haseł po wyliczanie USB i wstrzykiwanie kodu” – napisali naukowcy.

Ten składnik zapewnia możliwość wyliczania sieci LAN, co pozwala podmiotowi zajmującemu się zagrożeniem na dalszy zakres środowiska LAN, a także na przeprowadzanie przechwycenia DNS i HTTP, które może być trudne do wykrycia, stwierdzili.

Ciągłe zagrożenie

Black Lotus przeanalizował próbki z VirusTotal i jego własną telemetrię, aby stwierdzić, że jak dotąd około 80 celów zostało skompromitowanych przez ZuoRAT.

Znane luki w zabezpieczeniach wykorzystywane do uzyskiwania dostępu do routerów w celu rozprzestrzeniania RAT obejmują: CVE-2020-26878 i CVE-2020-26879. W szczególności cyberprzestępcy używali skompilowanego w języku Python przenośnego pliku wykonywalnego systemu Windows (PE), który odwoływał się do weryfikacji koncepcji o nazwie zamieszanie151021.py aby zdobyć referencje i załadować ZuoRAT, powiedzieli.

Ze względu na możliwości i zachowanie zademonstrowane przez ZuoRAT jest wysoce prawdopodobne, że podmiot zajmujący się zagrożeniami stojący za ZuoRAT nie tylko nadal aktywnie atakuje urządzenia, ale „od lat żyje niewykryty na obrzeżach sieci docelowych” – powiedzieli naukowcy.

Stanowi to niezwykle niebezpieczny scenariusz dla sieci korporacyjnych i innych organizacji, w których pracownicy zdalni łączą się z urządzeniami, których dotyczy problem, zauważył jeden ze specjalistów ds. bezpieczeństwa.

„Oprogramowanie SOHO zazwyczaj nie jest budowane z myślą o bezpieczeństwie, zwłaszcza przed pandemią oprogramowanie układowe, w którym routery SOHO nie były dużym wektorem ataku” – zauważył Dahvid Schloss, szef zespołu ds. ofensywnych zabezpieczeń w firmie zajmującej się cyberbezpieczeństwem Rzut, w e-mailu do Threatpost.

Gdy podatne urządzenie zostanie naruszone, cyberprzestępcy mają wolną rękę, aby „szturchać i szturchać dowolne podłączone urządzenie” do zaufanego połączenia, które przechwytują, powiedział.

„Stamtąd możesz spróbować użyć proxychains, aby wrzucić exploity do sieci lub po prostu monitorować cały ruch wchodzący, wychodzący i wokół sieci” – powiedział Schloss.