อุปกรณ์จาก Cisco, Netgear และอื่นๆ ที่มีความเสี่ยงจากมัลแวร์แบบหลายขั้นตอนซึ่งมีการใช้งานตั้งแต่เดือนเมษายน 2020 และแสดงให้เห็นการทำงานของผู้คุกคามที่มีความซับซ้อน
โทรจันการเข้าถึงระยะไกลแบบหลายขั้นตอน (RAT) แบบใหม่ที่มีการใช้งานตั้งแต่เดือนเมษายน 2020 ใช้ประโยชน์จากช่องโหว่ที่รู้จักเพื่อกำหนดเป้าหมายเราเตอร์ SOHO ยอดนิยมจาก Cisco Systems, Netgear, Asus และอื่นๆ
มัลแวร์ที่เรียกว่า ZuoRAT สามารถเข้าถึง LAN ในพื้นที่ ดักจับแพ็กเก็ตที่ส่งบนอุปกรณ์และทำการโจมตีแบบคนกลางผ่านการจี้ DNS และ HTTPS ตามที่นักวิจัยจาก Black Lotus Labs ซึ่งเป็นหน่วยงานด้านข่าวกรองภัยคุกคามของ Lumen Technologies
ความสามารถที่ไม่เพียงแต่กระโดดบน LAN จากอุปกรณ์ SOHO แล้วทำการโจมตีเพิ่มเติม แสดงให้เห็นว่าหนูอาจเป็นงานของนักแสดงที่ได้รับการสนับสนุนจากรัฐ พวกเขาตั้งข้อสังเกตใน โพสต์บล็อก เผยแพร่เมื่อวันพุธ“การใช้เทคนิคทั้งสองนี้แสดงให้เห็นถึงความซับซ้อนในระดับสูงโดยผู้คุกคาม ซึ่งบ่งชี้ว่าแคมเปญนี้อาจดำเนินการโดยองค์กรที่ได้รับการสนับสนุนจากรัฐ” นักวิจัยเขียนไว้ในโพสต์
ระดับการหลบเลี่ยงที่ผู้คุกคามใช้เพื่อปกปิดการสื่อสารด้วยคำสั่งและการควบคุม (C&C) ในการโจมตี “ไม่สามารถพูดเกินจริงได้” และยังชี้ว่า ZuoRAT เป็นงานของผู้เชี่ยวชาญ พวกเขากล่าว
"ประการแรก เพื่อหลีกเลี่ยงความสงสัย พวกเขาส่งการเอารัดเอาเปรียบเบื้องต้นจากเซิร์ฟเวอร์ส่วนตัวเสมือน (VPS) โดยเฉพาะที่โฮสต์เนื้อหาที่ไม่เป็นอันตราย” นักวิจัยเขียน “ถัดไป พวกเขาใช้ประโยชน์จากเราเตอร์เป็นพร็อกซี C2 ที่ซ่อนตัวในสายตาธรรมดาผ่านการสื่อสารระหว่างเราเตอร์กับเราเตอร์เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม และสุดท้าย พวกเขาหมุนพร็อกซีเราเตอร์เป็นระยะเพื่อหลีกเลี่ยงการตรวจจับ”
โอกาสแพร่ระบาด
นักวิจัยตั้งชื่อว่า โทรจัน หลังคำภาษาจีนที่แปลว่า "ซ้าย" เนื่องจากชื่อไฟล์ที่ผู้คุกคามใช้คือ "asdf.a" นักวิจัยเขียนชื่อนี้ว่า “การเลื่อนคีย์บอร์ดของปุ่มโฮมด้านซ้ายมือ”
ผู้ก่อภัยคุกคามปรับใช้ RAT ที่มีแนวโน้มว่าจะใช้ประโยชน์จากอุปกรณ์ SOHO ที่ไม่ได้รับการแพตช์บ่อยครั้งหลังจากเกิดการระบาดใหญ่ของ COVID-19 และผู้ปฏิบัติงานจำนวนมากได้รับคำสั่งให้ ทำงานที่บ้านซึ่ง เปิดขึ้น พวกเขากล่าวว่าภัยคุกคามด้านความปลอดภัยจำนวนมาก
“การเปลี่ยนแปลงอย่างรวดเร็วสู่การทำงานระยะไกลในฤดูใบไม้ผลิปี 2020 นำเสนอโอกาสใหม่ให้กับผู้คุกคามในการทำลายการป้องกันเชิงลึกแบบเดิมๆ ด้วยการกำหนดเป้าหมายจุดอ่อนที่สุดของขอบเขตเครือข่ายใหม่ — อุปกรณ์ที่ผู้บริโภคซื้อเป็นประจำแต่ไม่ค่อยได้รับการตรวจสอบหรือแก้ไข นักวิจัยเขียน “นักแสดงสามารถใช้ประโยชน์จากการเข้าถึงเราเตอร์ของ SOHO เพื่อรักษาสถานะการตรวจจับในระดับต่ำบนเครือข่ายเป้าหมายและใช้ประโยชน์จากข้อมูลที่ละเอียดอ่อนซึ่งส่งผ่าน LAN”
การโจมตีหลายขั้นตอน
จากสิ่งที่นักวิจัยสังเกตพบว่า ZuoRAT เป็นกิจกรรมแบบหลายขั้นตอน โดยขั้นตอนแรกของการทำงานหลักที่ออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับอุปกรณ์และ LAN ที่เชื่อมต่อ เปิดใช้งานการจับแพ็คเก็ตของการรับส่งข้อมูลเครือข่าย แล้วส่งข้อมูลกลับไปยังคำสั่ง -และ-การควบคุม (C&C)
“เราประเมินจุดประสงค์ขององค์ประกอบนี้คือการปรับให้ผู้โจมตีคุ้นเคยกับเราเตอร์เป้าหมายและ LAN ที่อยู่ติดกัน เพื่อพิจารณาว่าจะรักษาการเข้าถึงไว้หรือไม่” นักวิจัยตั้งข้อสังเกต
ขั้นตอนนี้มีฟังก์ชันการทำงานเพื่อให้แน่ใจว่ามีเพียงอินสแตนซ์เดียวของเอเจนต์ที่มีอยู่ และเพื่อดำเนินการดัมพ์หลักที่สามารถให้ข้อมูลที่จัดเก็บไว้ในหน่วยความจำ เช่น ข้อมูลประจำตัว ตารางเส้นทาง และตาราง IP ตลอดจนข้อมูลอื่น ๆ
ZuoRAT ยังรวมองค์ประกอบที่สองที่ประกอบด้วยคำสั่งเสริมที่ส่งไปยังเราเตอร์เพื่อใช้เป็นนักแสดง ดังนั้นเลือกโดยใช้ประโยชน์จากโมดูลเพิ่มเติมที่สามารถดาวน์โหลดลงในอุปกรณ์ที่ติดไวรัสได้
"เราสังเกตการทำงานที่ฝังอยู่ประมาณ 2,500 ฟังก์ชัน ซึ่งรวมถึงโมดูลต่างๆ ตั้งแต่การพ่นรหัสผ่าน ไปจนถึงการแจงนับ USB และการฉีดโค้ด" นักวิจัยเขียน
องค์ประกอบนี้มีความสามารถสำหรับความสามารถในการแจงนับ LAN ซึ่งช่วยให้ผู้คุกคามสามารถกำหนดขอบเขตสภาพแวดล้อม LAN เพิ่มเติมและดำเนินการจี้ DNS และ HTTP ซึ่งอาจตรวจจับได้ยาก
ภัยคุกคามอย่างต่อเนื่อง
Black Lotus วิเคราะห์ตัวอย่างจาก VirusTotal และการวัดระยะไกลของตัวเองเพื่อสรุปว่า ZuoRAT ทำลายเป้าหมายไปแล้วประมาณ 80 เป้าหมาย
ช่องโหว่ที่รู้จักซึ่งใช้ประโยชน์จากการเข้าถึงเราเตอร์เพื่อกระจาย RAT ได้แก่: CVE-2020-26878 และ CVE-2020-26879. โดยเฉพาะอย่างยิ่ง ผู้คุกคามใช้ไฟล์ Windows portable executable (PE) ที่คอมไพล์ด้วย Python ซึ่งอ้างอิงการพิสูจน์แนวคิดที่เรียกว่า ruckus151021.py เพื่อรับข้อมูลประจำตัวและโหลด ZuoRAT พวกเขากล่าว
เนื่องจากความสามารถและพฤติกรรมที่แสดงให้เห็นโดย ZuoRAT มีความเป็นไปได้สูงที่ไม่เพียงแต่ผู้คุกคามที่อยู่เบื้องหลัง ZuoRAT เท่านั้นที่ยังคงกำหนดเป้าหมายอุปกรณ์อย่างแข็งขัน แต่ยัง "ใช้ชีวิตโดยไม่มีใครตรวจพบบนขอบของเครือข่ายเป้าหมายมาหลายปี" นักวิจัยกล่าว
นี่เป็นสถานการณ์ที่อันตรายอย่างยิ่งสำหรับเครือข่ายองค์กรและองค์กรอื่นๆ ที่มีผู้ปฏิบัติงานระยะไกลเชื่อมต่อกับอุปกรณ์ที่ได้รับผลกระทบ ผู้เชี่ยวชาญด้านความปลอดภัยรายหนึ่งตั้งข้อสังเกต
“ปกติแล้วเฟิร์มแวร์ SOHO ไม่ได้สร้างขึ้นโดยคำนึงถึงความปลอดภัยโดยเฉพาะ ก่อนเกิดโรคระบาด เฟิร์มแวร์ที่เราเตอร์ SOHO ไม่ใช่เวกเตอร์การโจมตีขนาดใหญ่” Dahvid Schloss หัวหน้าทีมรักษาความปลอดภัยที่น่ารังเกียจของ บริษัท รักษาความปลอดภัยทางไซเบอร์ตั้งข้อสังเกต ระดับตำแหน่ง, ในอีเมลถึง Threatpost
เมื่ออุปกรณ์ที่มีช่องโหว่ถูกบุกรุก ผู้คุกคามจะมีอิสระในการ “กระตุ้นและแหย่อุปกรณ์ใดก็ตามที่เชื่อมต่อ” กับการเชื่อมต่อที่เชื่อถือได้ที่พวกเขาจี้ เขากล่าว
“จากตรงนั้น คุณสามารถลองใช้ proxychains เพื่อโยนช่องโหว่ในเครือข่ายหรือเพียงแค่ตรวจสอบการรับส่งข้อมูลทั้งหมดที่เข้าออกและรอบ ๆ เครือข่าย” Schloss กล่าว
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ช่องโหว่
- ความปลอดภัยของเว็บไซต์
- ลมทะเล