ZuoRAT pode assumir roteadores SOHO amplamente usados

Um novo trojan de acesso remoto (RAT) de vários estágios que está ativo desde abril de 2020 está explorando vulnerabilidades conhecidas para atingir roteadores SOHO populares da Cisco Systems, Netgear, Asus e outros.

O malware, apelidado de ZuoRAT, pode acessar a LAN local, capturar pacotes transmitidos no dispositivo e realizar ataques man-in-the-middle por meio de sequestro de DNS e HTTPS, de acordo com pesquisadores do braço de inteligência de ameaças da Lumen Technologies, Black Lotus Labs.

A capacidade de não apenas entrar em uma LAN a partir de um dispositivo SOHO e depois realizar novos ataques sugere que o RAT pode ser o trabalho de um ator patrocinado pelo Estado, observaram eles em um post de blog publicado quarta-feira.“O uso dessas duas técnicas demonstrou congruentemente um alto nível de sofisticação por parte de um ator de ameaça, indicando que esta campanha foi possivelmente realizada por uma organização patrocinada pelo Estado”, escreveram os pesquisadores no post.

O nível de evasão que os atores da ameaça usam para encobrir a comunicação com o comando e controle (C&C) nos ataques “não pode ser exagerado” e também indica que o ZuoRAT é o trabalho de profissionais, disseram.

"Primeiro, para evitar suspeitas, eles transferiram a exploração inicial de um servidor virtual privado (VPS) dedicado que hospedava conteúdo benigno”, escreveram os pesquisadores. “Em seguida, eles aproveitaram os roteadores como proxy C2s que se escondiam à vista de todos por meio da comunicação roteador a roteador para evitar ainda mais a detecção. E, finalmente, eles trocaram os roteadores proxy periodicamente para evitar a detecção.”

Oportunidade pandêmica

Os pesquisadores nomearam o troiano após a palavra chinesa para “esquerda” por causa do nome de arquivo usado pelos atores da ameaça, “asdf.a.” O nome “sugere a movimentação do teclado nas teclas iniciais esquerdas”, escreveram os pesquisadores.

Os atores da ameaça implantaram o RAT, provavelmente para tirar proveito de dispositivos SOHO, muitas vezes sem correção, logo após o início da pandemia de COVID-19 e muitos trabalhadores foram obrigados a trabalho a partir de casa, o qual abriu uma série de ameaças à segurança, disseram eles.

“A rápida mudança para o trabalho remoto na primavera de 2020 apresentou uma nova oportunidade para os agentes de ameaças subverterem as proteções tradicionais de defesa profunda, visando os pontos mais fracos do novo perímetro de rede – dispositivos que são rotineiramente adquiridos pelos consumidores, mas raramente monitorados ou corrigidos ”, escreveram os pesquisadores. “Os atores podem aproveitar o acesso do roteador SOHO para manter uma presença de baixa detecção na rede alvo e explorar informações confidenciais que transitam pela LAN.”

Ataque em vários estágios

Pelo que os pesquisadores observaram, o ZuoRAT é um caso de vários estágios, com o primeiro estágio da funcionalidade principal projetada para coletar informações sobre o dispositivo e a LAN à qual está conectado, permitir a captura de pacotes do tráfego de rede e, em seguida, enviar as informações de volta ao comando. -e-controle (C&C).

“Avaliamos que o objetivo deste componente era aclimatar o ator da ameaça ao roteador alvo e à LAN adjacente para determinar se deve manter o acesso”, observaram os pesquisadores.

Este estágio tem funcionalidade para garantir que apenas uma única instância do agente esteja presente e para realizar um core dump que possa gerar dados armazenados na memória, como credenciais, tabelas de roteamento e tabelas IP, além de outras informações, disseram.

O ZuoRAT também inclui um segundo componente composto de comandos auxiliares enviados ao roteador para uso conforme o ator escolher, aproveitando módulos adicionais que podem ser baixados no dispositivo infectado.

“Observamos aproximadamente 2,500 funções incorporadas, que incluíam módulos que vão desde pulverização de senha até enumeração USB e injeção de código”, escreveram os pesquisadores.

Este componente fornece capacidade de enumeração de LAN, o que permite ao ator da ameaça ampliar ainda mais o ambiente de LAN e também realizar sequestro de DNS e HTTP, que pode ser difícil de detectar, disseram eles.

Ameaça em andamento

A Black Lotus analisou amostras do VirusTotal e sua própria telemetria para concluir que cerca de 80 alvos até agora foram comprometidos pelo ZuoRAT.

As vulnerabilidades conhecidas exploradas para acessar roteadores para espalhar o RAT incluem: CVE-2020-26878 e CVE-2020-26879. Especificamente, os agentes da ameaça usaram um arquivo executável portátil (PE) do Windows compilado em Python que referenciava uma prova de conceito chamada ruckus151021.py para obter credenciais e carregar o ZuoRAT, disseram eles.

Devido às capacidades e ao comportamento demonstrados pelo ZuoRAT, é altamente provável que não apenas o ator da ameaça por trás do ZuoRAT ainda esteja visando ativamente os dispositivos, mas também esteja “vivendo sem ser detectado na borda das redes visadas há anos”, disseram os pesquisadores.

Isto representa um cenário extremamente perigoso para redes corporativas e outras organizações com trabalhadores remotos conectados a dispositivos afetados, observou um profissional de segurança.

“O firmware SOHO normalmente não é construído com a segurança em mente, especialmente pré-pandemia firmware onde os roteadores SOHO não eram um grande vetor de ataque”, observou Dahvid Schloss, líder da equipe de segurança ofensiva da empresa de segurança cibernética Escalão, em um e-mail para o Threatpost.

Uma vez que um dispositivo vulnerável é comprometido, os agentes da ameaça têm liberdade para “cutucar e cutucar qualquer dispositivo conectado” à conexão confiável que eles sequestram, disse ele.

“A partir daí, você pode tentar usar proxychains para lançar explorações na rede ou apenas monitorar todo o tráfego que entra, sai e circula pela rede”, disse Schloss.