Naprave Cisco, Netgear in drugih so ogrožene zaradi večstopenjske zlonamerne programske opreme, ki je aktivna od aprila 2020 in prikazuje delo prefinjenega akterja groženj.
Nov trojanec z večstopenjskim oddaljenim dostopom (RAT), ki je aktiven od aprila 2020, izkorišča znane ranljivosti za ciljanje na priljubljene usmerjevalnike SOHO podjetij Cisco Systems, Netgear, Asus in drugih.
Zlonamerna programska oprema, imenovana ZuoRAT, lahko dostopa do lokalnega omrežja LAN, zajame pakete, ki se prenašajo na napravo, in izvaja napade človeka v sredini prek ugrabitev DNS in HTTPS, trdijo raziskovalci iz Black Lotus Labs, ki se ukvarja z obveščanjem o grožnjah Lumen Technologies.
Zmožnost ne le skoka na LAN z naprave SOHO in nato izvajanja nadaljnjih napadov nakazuje, da je RAT morda delo igralca, ki ga sponzorira država, so zapisali v blog post objavljeno v sredo.
"Uporaba teh dveh tehnik je skladno pokazala visoko stopnjo sofisticiranosti akterja grožnje, kar kaže, da je to kampanjo morda izvedla organizacija, ki jo sponzorira država," so raziskovalci zapisali v objavi.
Stopnje izogibanja, ki jo akterji groženj uporabljajo za prikrivanje komunikacije z ukazom in nadzorom (C&C) v napadih, "ni mogoče preceniti" in prav tako kaže, da je ZuoRAT delo profesionalcev, so dejali.
"Najprej so, da bi se izognili sumu, izročili prvotno izkoriščanje z namenskega virtualnega zasebnega strežnika (VPS), ki je gostil benigno vsebino,« so zapisali raziskovalci. »Nato so izkoristili usmerjevalnike kot proxy C2, ki so se prek komunikacije med usmerjevalniki skrili na vidnem mestu, da bi se dodatno izognili odkrivanju. In nazadnje, občasno so zamenjali proxy usmerjevalnike, da bi se izognili odkritju.«
Pandemična priložnost
Raziskovalci so poimenovali trojanski po kitajski besedi za "levo" zaradi imena datoteke, ki ga uporabljajo akterji groženj, "asdf.a." Raziskovalci so zapisali, da ime "nakazuje hojo po tipkovnici leve domače tipke".
Akterji groženj so namestili RAT, da bi verjetno izkoristili pogosto nepopravljene naprave SOHO, kmalu po izbruhu pandemije COVID-19 in številnim delavcem je bilo ukazano, Delo od doma, Ki je odprt množico varnostnih groženj, so rekli.
»Hiter prehod na delo na daljavo spomladi 2020 je akterjem groženj ponudil novo priložnost, da spodnesejo tradicionalne zaščite poglobljene obrambe s ciljanjem na najšibkejše točke novega omrežnega perimetra – naprave, ki jih potrošniki redno kupujejo, a jih le redko nadzirajo ali popravljajo. ,« so zapisali raziskovalci. "Udeleženci lahko izkoristijo dostop usmerjevalnika SOHO, da ohranijo nizko zaznavno prisotnost v ciljnem omrežju in izkoristijo občutljive informacije, ki prehajajo po LAN."
Večstopenjski napad
Glede na to, kar so opazili raziskovalci, je ZuoRAT večstopenjska zadeva, pri čemer je prva stopnja osnovne funkcionalnosti zasnovana za zbiranje informacij o napravi in omrežju LAN, s katerim je povezana, omogočanje paketnega zajema omrežnega prometa in nato pošiljanje informacij nazaj ukazu -in-kontrola (C&C).
"Ocenjujemo, da je bil namen te komponente prilagoditi akterja grožnje ciljnemu usmerjevalniku in sosednjemu LAN-u, da se ugotovi, ali naj ohrani dostop," so zapisali raziskovalci.
Ta stopnja ima funkcionalnost za zagotovitev, da je bil prisoten samo en primerek agenta, in za izvedbo jedrnega izpisa, ki bi lahko prinesel podatke, shranjene v pomnilniku, kot so poverilnice, usmerjevalne tabele in tabele IP, kot tudi druge informacije, so povedali.
ZuoRAT vključuje tudi drugo komponento, sestavljeno iz pomožnih ukazov, poslanih usmerjevalniku za uporabo po izbiri igralca z uporabo dodatnih modulov, ki jih je mogoče prenesti na okuženo napravo.
"Opazili smo približno 2,500 vgrajenih funkcij, ki so vključevale module, od razprševanja gesel do številčenja USB in vstavljanja kode," so zapisali raziskovalci.
Ta komponenta zagotavlja zmožnost za oštevilčenje LAN, ki akterju grožnje omogoča, da dodatno razkrije okolje LAN in izvede tudi ugrabitev DNS in HTTP, kar je lahko težko zaznati, so povedali.
Stalna grožnja
Black Lotus je analiziral vzorce iz VirusTotal in svojo lastno telemetrijo, da bi ugotovil, da je ZuoRAT doslej ogrožal približno 80 tarč.
Znane ranljivosti, ki se izkoriščajo za dostop do usmerjevalnikov za širjenje RAT, vključujejo: CVE-2020-26878 in CVE-2020-26879. Natančneje, akterji groženj so uporabili prenosno izvršljivo datoteko Windows (PE), prevedeno v Python, ki se je sklicevala na dokaz koncepta, imenovan ruckus151021.py da pridobi poverilnice in naloži ZuoRAT, so rekli.
Zaradi zmogljivosti in vedenja, ki jih je pokazal ZuoRAT, je zelo verjetno, da akter grožnje, ki stoji za ZuoRAT-om, še vedno aktivno cilja na naprave, ampak že leta »živi neodkrit na robu ciljnih omrežij,« so povedali raziskovalci.
To predstavlja izjemno nevaren scenarij za omrežja podjetij in druge organizacije z oddaljenimi delavci, ki se povezujejo s prizadetimi napravami, je opozoril en varnostni strokovnjak.
»Vdelana programska oprema SOHO običajno ni izdelana z mislijo na varnost pred pandemijo vdelana programska oprema, kjer usmerjevalniki SOHO niso bili velik vektor napadov,« je opazil Dahvid Schloss, vodja skupine za ofenzivno varnost pri podjetju za kibernetsko varnost. Echelon, v e-poštnem sporočilu Threatpostu.
Ko je ranljiva naprava ogrožena, imajo akterji groženj proste roke, »da zbadajo in potiskajo katero koli napravo, ki je povezana« z zaupanja vredno povezavo, ki jo ugrabijo, je dejal.
"Od tam lahko poskusite uporabiti posredniške verige, da vržete izkoriščanja v omrežje ali samo spremljate ves promet, ki gre v omrežje, iz njega in okoli njega," je dejal Schloss.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- Ranljivosti
- spletna varnost
- zefirnet
