ZuoRAT poate prelua routerele SOHO utilizate pe scară largă

Un nou troian de acces la distanță în mai multe etape (RAT) care este activ din aprilie 2020 exploatează vulnerabilități cunoscute pentru a viza routerele SOHO populare de la Cisco Systems, Netgear, Asus și altele.

Malware-ul, numit ZuoRAT, poate accesa rețeaua LAN locală, poate captura pachetele transmise pe dispozitiv și poate organiza atacuri de tip man-in-the-middle prin deturnarea DNS și HTTPS, potrivit cercetătorilor de la Black Lotus Labs, grupul de informații despre amenințări a Lumen Technologies.

Abilitatea de a accesa nu numai o rețea LAN de pe un dispozitiv SOHO și apoi de a organiza alte atacuri sugerează că RAT poate fi opera unui actor sponsorizat de stat, au remarcat ei în o postare pe blog publicat miercuri„Utilizarea acestor două tehnici a demonstrat în mod congruent un nivel ridicat de sofisticare de către un actor de amenințare, ceea ce indică faptul că această campanie a fost posibil realizată de o organizație sponsorizată de stat”, au scris cercetătorii în postare.

Nivelul de evaziune pe care actorii amenințări îl folosesc pentru a acoperi comunicarea cu comandă și control (C&C) în atacuri „nu poate fi exagerat” și, de asemenea, indică faptul că ZuoRAT este opera profesioniștilor, au spus aceștia.

În primul rând, pentru a evita suspiciunile, au transmis exploit-ul inițial de la un server privat virtual (VPS) dedicat care găzduia conținut benign”, au scris cercetătorii. „În continuare, au folosit routerele ca proxy C2 care s-au ascuns la vedere prin comunicarea de la router la router pentru a evita și mai mult detectarea. Și, în cele din urmă, au rotit ruterele proxy periodic pentru a evita detectarea.”

Oportunitate de pandemie

Cercetătorii au numit troian după cuvântul chinezesc pentru „stânga”, din cauza numelui fișierului folosit de actorii amenințărilor, „asdf.a”. Numele „sugerează mersul de la tastatură a tastelor de acasă din stânga”, au scris cercetătorii.

Actorii amenințărilor au desfășurat RAT-ul probabil să profite de dispozitivele SOHO, adesea nepattchizate, la scurt timp după izbucnirea pandemiei de COVID-19 și mulți lucrători au primit ordin să lucru de acasă, Care deschis o serie de amenințări la securitate, au spus ei.

„Trecerea rapidă la munca de la distanță în primăvara anului 2020 a prezentat o nouă oportunitate pentru actorii amenințărilor de a submina protecțiile tradiționale de apărare în profunzime prin țintirea celor mai slabe puncte ale noului perimetru de rețea - dispozitive care sunt achiziționate în mod obișnuit de consumatori, dar rareori monitorizate sau corectate. ”, au scris cercetătorii. „Actorii pot folosi accesul la routerul SOHO pentru a menține o prezență cu detecție scăzută în rețeaua țintă și pentru a exploata informațiile sensibile care tranzitează LAN.”

Atac în mai multe etape

Din ceea ce au observat cercetătorii, ZuoRAT este o afacere în mai multe etape, cu prima etapă a funcționalității de bază concepută pentru a culege informații despre dispozitiv și LAN-ul la care este conectat, să permită capturarea de pachete a traficului de rețea și apoi să trimită informațiile înapoi la comandă. -și-control (C&C).

„Evaluăm că scopul acestei componente a fost aclimatizarea actorului amenințării la routerul vizat și la LAN-ul adiacent pentru a determina dacă să mențină accesul”, au observat cercetătorii.

Această etapă are funcționalitate pentru a se asigura că este prezentă doar o singură instanță a agentului și pentru a efectua un dump de bază care ar putea produce date stocate în memorie, cum ar fi acreditările, tabelele de rutare și tabelele IP, precum și alte informații, au spus ei.

ZuoRAT include, de asemenea, o a doua componentă compusă din comenzi auxiliare trimise către router pentru a fi utilizate după cum alege actorul, utilizând module suplimentare care pot fi descărcate pe dispozitivul infectat.

„Am observat aproximativ 2,500 de funcții încorporate, care au inclus module, de la pulverizarea parolelor la enumerarea USB și injectarea codului”, au scris cercetătorii.

Această componentă oferă capacitatea de enumerare a LAN, care permite actorului amenințării să analizeze în continuare mediul LAN și, de asemenea, să efectueze deturnarea DNS și HTTP, care poate fi dificil de detectat, au spus ei.

Amenințare continuă

Black Lotus a analizat mostre de la VirusTotal și propria sa telemetrie pentru a concluziona că aproximativ 80 de ținte au fost compromise până acum de ZuoRAT.

Vulnerabilitățile cunoscute exploatate pentru a accesa routerele pentru a răspândi RAT includ: CVE-2020-26878 și CVE-2020-26879. Mai exact, actorii amenințărilor au folosit un fișier executabil portabil Windows (PE) compilat de Python care face referire la o dovadă a conceptului numită ruckus151021.py pentru a obține acreditări și a încărca ZuoRAT, au spus ei.

Datorită capacităților și comportamentului demonstrat de ZuoRAT, este foarte probabil ca nu numai că actorul amenințării din spatele ZuoRAT încă țintește în mod activ dispozitivele, dar „trăiește nedetectat la marginea rețelelor vizate de ani de zile”, au spus cercetătorii.

Acesta prezintă un scenariu extrem de periculos pentru rețelele corporative și alte organizații cu lucrători la distanță care se conectează la dispozitivele afectate, a remarcat un profesionist în securitate.

„De obicei, firmware-ul SOHO nu este construit având în vedere securitatea, în special pre-pandemie firmware în care routerele SOHO nu erau un mare vector de atac”, a observat Dahvid Schloss, șeful echipei de securitate ofensivă pentru firma de securitate cibernetică Eșalon, într-un e-mail către Threatpost.

Odată ce un dispozitiv vulnerabil este compromis, actorii amenințărilor au frâu liber „pentru a pătrunde orice dispozitiv este conectat” la conexiunea de încredere pe care o deturnează, a spus el.

„De acolo puteți încerca să utilizați proxychains pentru a arunca exploit-uri în rețea sau pur și simplu să monitorizați tot traficul care intră, iese și în jurul rețelei”, a spus Schloss.