ZuoRAT, Yaygın Olarak Kullanılan SOHO Yönlendiricilerini Devralabilir

Nisan 2020'den bu yana aktif olan yeni bir çok aşamalı uzaktan erişim truva atı (RAT), Cisco Systems, Netgear, Asus ve diğerlerinden popüler SOHO yönlendiricilerini hedeflemek için bilinen güvenlik açıklarından yararlanıyor.

Lumen Technologies'in tehdit istihbarat kolu Black Lotus Labs'tan araştırmacılara göre, ZuoRAT adı verilen kötü amaçlı yazılım, yerel LAN'a erişebiliyor, cihazda iletilen paketleri yakalayabiliyor ve DNS ve HTTPS ele geçirme yoluyla ortadaki adam saldırıları gerçekleştirebiliyor.

Araştırmacılar, yalnızca bir SOHO cihazından LAN'a bağlanıp daha sonra başka saldırılar düzenleme yeteneğinin, RAT'ın devlet destekli bir aktörün işi olabileceğini öne sürdüğünü belirttiler. Bir blog yazısı Çarşamba yayınlandı.Araştırmacılar gönderide şöyle yazdı: "Bu iki tekniğin kullanımı, bir tehdit aktörünün yüksek seviyedeki karmaşıklığını uyumlu bir şekilde gösterdi; bu da bu kampanyanın muhtemelen devlet destekli bir kuruluş tarafından gerçekleştirildiğini gösteriyor."

Tehdit aktörlerinin saldırılarda komuta ve kontrol (C&C) ile iletişimi gizlemek için kullandıkları kaçınma düzeyinin "abartılmaması gerektiğini" ve aynı zamanda ZuoRAT'ın profesyonellerin işi olduğuna işaret ettiğini söylediler.

"Araştırmacılar, ilk olarak şüpheyi önlemek için, ilk istismarı zararsız içeriği barındıran özel bir sanal sunucudan (VPS) aktardılar" diye yazdı. "Daha sonra, tespit edilmeyi daha da önlemek için yönlendiriciler arası iletişim yoluyla görünürde saklanan proxy C2'ler olarak yönlendiricilerden yararlandılar. Ve son olarak, tespit edilmekten kaçınmak için proxy yönlendiricilerini periyodik olarak değiştirdiler."

Pandemi Fırsatı

Araştırmacılar adını verdi Truva Tehdit aktörlerinin kullandığı dosya adı nedeniyle Çince'de "sol" kelimesinin ardından gelen "asdf.a." Araştırmacılar, adın "klavyenin soldaki ana tuşlarla yürümesini önerdiğini" yazdı.

Tehdit aktörleri, Kovid-19 salgınının patlak vermesinden kısa bir süre sonra ve birçok işçiye, çoğunlukla yama yapılmayan SOHO cihazlarından yararlanmak için RAT'ı konuşlandırdı ve birçok işçiye, evden çalışmak, Hangi açtı bir dizi güvenlik tehdidi olduğunu söylediler.

"2020 baharında uzaktan çalışmaya hızlı geçiş, tehdit aktörlerine yeni ağ çevresinin en zayıf noktalarını (tüketiciler tarafından rutin olarak satın alınan ancak nadiren izlenen veya yama uygulanan cihazlar) hedef alarak geleneksel derinlemesine savunma korumalarını altüst etme konusunda yeni bir fırsat sundu. "diye yazdı araştırmacılar. "Aktörler, hedef ağda düşük düzeyde tespit edilebilir bir varlığı sürdürmek ve LAN üzerinden geçen hassas bilgilerden yararlanmak için SOHO yönlendirici erişiminden yararlanabilir."

Çok Aşamalı Saldırı

Araştırmacıların gözlemlerine göre, ZuoRAT çok aşamalı bir olaydır; temel işlevselliğin ilk aşaması, cihaz ve bağlı olduğu LAN hakkında bilgi toplamak, ağ trafiğinin paket yakalamasını sağlamak ve ardından bilgiyi komuta geri göndermek için tasarlanmıştır. -ve-kontrol (C&C).

Araştırmacılar, "Bu bileşenin amacının, erişimin sürdürülüp sürdürülmeyeceğini belirlemek için tehdit aktörünü hedeflenen yönlendiriciye ve bitişik LAN'a alıştırmak olduğunu değerlendiriyoruz" dedi.

Bu aşamanın, aracının yalnızca tek bir örneğinin mevcut olmasını sağlayacak ve kimlik bilgileri, yönlendirme tabloları ve IP tabloları gibi diğer bilgilerin yanı sıra bellekte depolanan verileri sağlayabilecek bir çekirdek dökümü gerçekleştirme işlevine sahip olduğu belirtildi.

ZuoRAT ayrıca, aktörün virüs bulaşmış cihaza indirilebilecek ek modüllerden yararlanarak seçim yapması için yönlendiriciye gönderilen yardımcı komutlardan oluşan ikinci bir bileşeni de içeriyor.

Araştırmacılar, "Şifre püskürtmeden USB numaralandırma ve kod eklemeye kadar çeşitli modülleri içeren yaklaşık 2,500 gömülü işlevi gözlemledik" diye yazdı.

Bu bileşenin, tehdit aktörünün LAN ortamını daha da genişletmesine ve ayrıca tespit edilmesi zor olabilecek DNS ve HTTP ele geçirme işlemlerini gerçekleştirmesine olanak tanıyan LAN numaralandırma yeteneği yeteneği sağladığını belirttiler.

Devam Eden Tehdit

Black Lotus, VirusTotal'dan ve kendi telemetrisinden alınan örnekleri analiz ederek şu ana kadar yaklaşık 80 hedefin ZuoRAT tarafından ele geçirildiği sonucuna vardı.

RAT'ı yaymak amacıyla yönlendiricilere erişim sağlamak için kullanılan bilinen güvenlik açıkları şunları içerir: CVE-2020-26878 ve CVE-2020-26879. Tehdit aktörleri özellikle Python tarafından derlenmiş, Windows taşınabilir yürütülebilir (PE) bir dosya kullandı ve bu dosya adı verilen kavram kanıtını referans aldı. ruckus151021.py kimlik bilgilerini kazanmak ve ZuoRAT'ı yüklemek için dediler.

Araştırmacılar, ZuoRAT'ın gösterdiği yetenekler ve davranışlar nedeniyle, ZuoRAT'ın arkasındaki tehdit aktörünün yalnızca aktif olarak cihazları hedeflemekle kalmayıp aynı zamanda "yıllardır hedeflenen ağların kenarında tespit edilmeden yaşadığını" söylüyor.

Bir güvenlik uzmanı, bunun kurumsal ağlar ve uzak çalışanların etkilenen cihazlara bağlandığı diğer kuruluşlar için son derece tehlikeli bir senaryo sunduğunu belirtti.

“SOHO ürün yazılımı genellikle güvenlik göz önünde bulundurularak oluşturulmamıştır, özellikle de pandemi öncesi Siber güvenlik firmasının saldırgan güvenlik ekibi lideri Dahvid Schloss, "SOHO yönlendiricilerinin büyük bir saldırı vektörü olmadığı bir yazılım" dedi. Kademe, Threatpost'a gönderilen bir e-postada.

Savunmasız bir cihazın güvenliği ihlal edildiğinde, tehdit aktörlerinin ele geçirdikleri güvenilir bağlantıya "bağlı olan cihazı dürtme ve dürtme" konusunda özgür olduklarını söyledi.

Schloss, "Buradan, ağa açıklardan yararlanmak için proxy zincirlerini kullanmayı deneyebilir veya yalnızca ağa giren, çıkan ve ağ çevresinden gelen tüm trafiği gözlemleyebilirsiniz" dedi.