Enheter från Cisco, Netgear och andra i riskzonen från skadlig programvara i flera steg, som har varit aktiv sedan april 2020 och visar arbetet av en sofistikerad hotaktör.
En ny flerstegstrojan för fjärråtkomst (RAT) som har varit aktiv sedan april 2020 utnyttjar kända sårbarheter för att rikta in sig på populära SOHO-routrar från Cisco Systems, Netgear, Asus och andra.
Skadlig programvara, kallad ZuoRAT, kan komma åt det lokala LAN, fånga paket som överförs på enheten och iscensätta man-in-the-midten-attacker genom DNS- och HTTPS-kapning, enligt forskare från Lumen Technologies hot-intelligensarm Black Lotus Labs.
Möjligheten att inte bara hoppa på ett LAN från en SOHO-enhet och sedan iscensätta ytterligare attacker tyder på att RAT kan vara ett verk av en statligt sponsrad aktör, noterade de i ett blogginlägg publicerad onsdag.
"Användningen av dessa två tekniker visade kongruent en hög nivå av sofistikering av en hotaktör, vilket indikerar att denna kampanj möjligen utfördes av en statligt sponsrad organisation", skrev forskare i inlägget.
Nivån på undanflykt som hotaktörer använder för att dölja kommunikation med kommando-och-kontroll (C&C) i attackerna "kan inte överskattas" och pekar också på att ZuoRAT är ett verk av proffs, sa de.
"Först, för att undvika misstankar, lämnade de den första exploateringen från en dedikerad virtuell privat server (VPS) som var värd för godartat innehåll”, skrev forskare. "Närnäst utnyttjade de routrar som proxy C2:er som gömde sig synligt genom router-till-router-kommunikation för att ytterligare undvika upptäckt. Och slutligen roterade de proxyroutrar med jämna mellanrum för att undvika upptäckt."
Pandemisk möjlighet
Forskare heter trojan efter det kinesiska ordet för "vänster" på grund av filnamnet som används av hotaktörerna, "asdf.a." Namnet "antyder tangentbordsgång av vänster hemknappar", skrev forskare.
Hotaktörer använde RAT som sannolikt skulle dra nytta av ofta oparpade SOHO-enheter kort efter att covid-19-pandemin bröt ut och många arbetare beordrades att arbeta hemifrån, Vilket öppnade upp en mängd säkerhetshot, sa de.
"Den snabba övergången till distansarbete under våren 2020 innebar en ny möjlighet för hotaktörer att undergräva traditionella djupförsvarsskydd genom att rikta in sig på de svagaste punkterna i den nya nätverksperimetern - enheter som rutinmässigt köps av konsumenter men som sällan övervakas eller korrigeras ", skrev forskare. "Skådespelare kan utnyttja SOHO-routeråtkomst för att upprätthålla en låg-detektionsnärvaro på målnätverket och utnyttja känslig information som passerar LAN."
Flerstegsattack
Från vad forskare observerat är ZuoRAT en affär i flera steg, med det första steget av kärnfunktionalitet utformad för att samla information om enheten och LAN som den är ansluten till, möjliggöra paketfångning av nätverkstrafik och sedan skicka tillbaka informationen till kommandot -och-kontroll (C&C).
"Vi bedömer att syftet med den här komponenten var att acklimatisera hotaktören till den riktade routern och det intilliggande LAN-nätverket för att avgöra om åtkomsten skulle bibehållas", noterade forskare.
Det här steget har funktionalitet för att säkerställa att endast en enda instans av agenten var närvarande, och för att utföra en kärndumpning som kan ge data lagrad i minnet såsom referenser, routingtabeller och IP-tabeller, såväl som annan information, sa de.
ZuoRAT inkluderar också en andra komponent som består av hjälpkommandon som skickas till routern för användning som aktören väljer genom att utnyttja ytterligare moduler som kan laddas ner till den infekterade enheten.
"Vi observerade cirka 2,500 XNUMX inbäddade funktioner, som inkluderade moduler som sträcker sig från lösenordssprayning till USB-uppräkning och kodinjektion", skrev forskare.
Den här komponenten ger kapacitet för LAN-uppräkningskapacitet, vilket gör det möjligt för hotaktören att ytterligare avgränsa LAN-miljön och även utföra DNS- och HTTP-kapning, vilket kan vara svårt att upptäcka, sa de.
Pågående hot
Black Lotus analyserade prover från VirusTotal och dess egen telemetri för att dra slutsatsen att cirka 80 mål hittills har äventyrats av ZuoRAT.
Kända sårbarheter som utnyttjas för att komma åt routrar för att sprida RAT inkluderar: CVE-2020-26878 och CVE-2020-26879. Specifikt använde hotaktörer en Python-kompilerad Windows portable executable (PE) fil som refererade till ett proof of concept som heter ruckus151021.py för att få meriter och ladda ZuoRAT, sa de.
På grund av de möjligheter och beteenden som ZuoRAT demonstrerar är det mycket troligt att inte bara hotaktören bakom ZuoRAT fortfarande aktivt riktar sig mot enheter, utan har "levt oupptäckt på kanten av riktade nätverk i flera år", sa forskare.
Detta utgör ett extremt farligt scenario för företagsnätverk och andra organisationer med distansarbetare som ansluter till berörda enheter, konstaterade en säkerhetsexpert.
"SOHO firmware är vanligtvis inte byggd med säkerhet i åtanke, särskilt pre-pandemi firmware där SOHO-routrar inte var en stor attackvektor”, observerade Dahvid Schloss, ledare för offensivt säkerhetsteam för cybersäkerhetsföretaget Echelon, i ett mejl till Threatpost.
När en sårbar enhet har äventyrats, har hotaktörer fritt spelrum "att peta och sticka på vilken enhet som helst som är ansluten" till den betrodda anslutningen som de kapar, sa han.
"Därifrån kan du försöka använda proxykedjor för att kasta exploateringar i nätverket eller bara övervaka all trafik som går in, ut och runt nätverket," sa Schloss.
