Пристрої від Cisco, Netgear та інших під загрозою через багатоетапне зловмисне програмне забезпечення, яке активно працює з квітня 2020 року та демонструє роботу складного загрозливого актора.
Новий багатоступеневий троян віддаленого доступу (RAT), який був активний з квітня 2020 року, використовує відомі вразливості для націлювання на популярні маршрутизатори SOHO від Cisco Systems, Netgear, Asus та інших.
Зловмисне програмне забезпечення під назвою ZuoRAT може отримувати доступ до локальної локальної мережі, перехоплювати пакети, що передаються на пристрої, і влаштовувати атаки типу "людина посередині" через викрадення DNS і HTTPS, за словами дослідників з підрозділу Black Lotus Labs Lumen Technologies з аналізу загроз.
Можливість не лише переходити в локальну мережу з пристрою SOHO, а потім інсценувати подальші атаки свідчить про те, що RAT може бути роботою суб’єкта, який спонсорується державою, зазначили вони в блог опубліковано в середу.
«Використання цих двох методів узгоджено продемонструвало високий рівень витонченості суб’єкта загрози, що вказує на те, що цю кампанію, ймовірно, проводила спонсорована державою організація», — пишуть дослідники в дописі.
Рівень ухилення, який використовують зловмисники, щоб приховати зв’язок із командно-контрольними (C&C) під час атак, «неможливо переоцінити», а також вказує на те, що ZuoRAT — це робота професіоналів, сказали вони.
"По-перше, щоб уникнути підозр, вони передали початковий експлойт із виділеного віртуального приватного сервера (VPS), на якому розміщувався безпечний вміст», — пишуть дослідники. «Далі вони використовували маршрутизатори як проксі-сервери C2, які ховалися на видноті через зв’язок між маршрутизаторами, щоб уникнути виявлення. І, нарешті, вони періодично змінювали проксі-маршрутизатори, щоб уникнути виявлення».
Можливість пандемії
Дослідники назвали троянець після китайського слова, що означає «лівий», через назву файлу, яку використовують зловмисники, «asdf.a». Дослідники пишуть, що назва «вказує на те, що ліві клавіші головного екрана переміщаються по клавіатурі».
Зловмисники розгорнули RAT, щоб скористатися перевагами пристроїв SOHO, які часто не виправлялися, незабаром після того, як спалахнула пандемія COVID-19, і багатьом працівникам було наказано працювати вдома, Яка відкрився безліч загроз безпеці, вони сказали.
«Швидкий перехід до віддаленої роботи навесні 2020 року відкрив нову можливість для суб’єктів загрози підірвати традиційний глибокий захист, націлившись на найслабші точки нового мережевого периметра — пристрої, які споживачі зазвичай купують, але рідко контролюються або виправляються. ”, – пишуть дослідники. «Учасники можуть використовувати доступ до маршрутизатора SOHO для підтримки присутності з низьким рівнем виявлення в цільовій мережі та використання конфіденційної інформації, що передається через локальну мережу».
Багатоетапна атака
За спостереженнями дослідників, ZuoRAT — це багатоступенева справа, з першою стадією основної функціональності, призначеної для збору інформації про пристрій і локальну мережу, до якої він підключений, увімкнення захоплення пакетів мережевого трафіку, а потім надсилання інформації назад команді -і-контроль (C&C).
«Ми оцінюємо, що мета цього компонента полягала в тому, щоб акліматизувати суб’єкта загрози до цільового маршрутизатора та суміжної локальної мережі, щоб визначити, чи підтримувати доступ», — зазначили дослідники.
Цей етап має функціональні можливості для забезпечення наявності лише одного екземпляра агента та виконання дампа ядра, який може давати дані, що зберігаються в пам’яті, такі як облікові дані, таблиці маршрутизації та IP-таблиці, а також іншу інформацію, сказали вони.
ZuoRAT також містить другий компонент, що складається з допоміжних команд, які надсилаються на маршрутизатор для використання за вибором актора, використовуючи додаткові модулі, які можна завантажити на заражений пристрій.
«Ми спостерігали приблизно 2,500 вбудованих функцій, які включали модулі, починаючи від розпилення паролів до перерахування USB і введення коду», — пишуть дослідники.
Цей компонент забезпечує можливість нумерації локальної мережі, що дозволяє суб’єкту загрози додатково охоплювати середовище локальної мережі, а також виконувати викрадення DNS і HTTP, які може бути важко виявити, сказали вони.
Постійна загроза
Black Lotus проаналізував зразки з VirusTotal і власну телеметрію, щоб зробити висновок, що зараз близько 80 цілей були скомпрометовані ZuoRAT.
Відомі вразливості, які використовують для доступу до маршрутизаторів для поширення RAT, включають: CVE-2020-26878 та CVE-2020-26879. Зокрема, зловмисники використовували скомпільований на Python портативний виконуваний файл Windows (PE), який посилався на доказ концепції під назвою ruckus151021.py щоб отримати облікові дані та завантажити ZuoRAT, сказали вони.
Завдяки можливостям і поведінці, продемонстрованим ZuoRAT, дуже ймовірно, що загроза, яка стоїть за ZuoRAT, не тільки активно націлена на пристрої, але й «живе непоміченою на межі цільових мереж роками», — кажуть дослідники.
Це надзвичайно небезпечний сценарій для корпоративних мереж та інших організацій, де віддалені працівники підключаються до уражених пристроїв, зазначив один спеціаліст із безпеки.
«Прошивка SOHO, як правило, створена не з урахуванням безпеки до пандемії мікропрограми, де маршрутизатори SOHO не були великим вектором атак», – зауважив Дахвід Шлосс, керівник відділу безпеки у фірмі з кібербезпеки. Ешелон, в електронному листі до Threatpost.
Як тільки вразливий пристрій скомпрометовано, суб’єкти загрози отримують повну свободу «тикати й тикати будь-який пристрій, підключений» до довіреного з’єднання, яке вони викрадають, сказав він.
«Звідти ви можете спробувати використовувати проксі-ланцюги, щоб вкинути експлойти в мережу або просто відстежувати весь трафік, який надходить, виходить і навколо мережі», — сказав Шлосс.
