ZuorAT وسیع پیمانے پر استعمال ہونے والے SOHO Routers PlatoBlockchain ڈیٹا انٹیلی جنس پر قبضہ کر سکتا ہے۔ عمودی تلاش۔ عی

ZuorAT وسیع پیمانے پر استعمال ہونے والے SOHO راؤٹرز پر قبضہ کر سکتا ہے۔

ٹائم سٹیمپ: 30 جون 2022 دوپہر 1:20 بجے

Cisco، Netgear اور دیگر کے آلات ملٹی اسٹیج میلویئر سے خطرے میں ہیں، جو اپریل 2020 سے فعال ہے اور ایک نفیس دھمکی آمیز اداکار کا کام دکھاتا ہے۔

ایک ناول ملٹی اسٹیج ریموٹ ایکسیس ٹروجن (RAT) جو اپریل 2020 سے فعال ہے Cisco Systems، Netgear، Asus اور دیگر کے مشہور SOHO راؤٹرز کو نشانہ بنانے کے لیے معلوم کمزوریوں کا فائدہ اٹھا رہا ہے۔

Lumen Technologies کی دھمکی آمیز انٹیلی جنس بازو Black Lotus Labs کے محققین کے مطابق، مالویئر، جسے ZuorAT کا نام دیا گیا ہے، مقامی LAN تک رسائی حاصل کر سکتا ہے، ڈیوائس پر منتقل کیے جانے والے پیکٹوں کو پکڑ سکتا ہے اور DNS اور HTTPS ہائی جیکنگ کے ذریعے انسانوں کے درمیان میں ہونے والے حملے کر سکتا ہے۔

انہوں نے نوٹ کیا کہ SOHO ڈیوائس سے نہ صرف LAN پر ہاپ کرنے اور پھر مزید حملے کرنے کی صلاحیت سے پتہ چلتا ہے کہ RAT ریاست کے زیر اہتمام اداکار کا کام ہو سکتا ہے۔ ایک بلاگ پوسٹ بدھ کو شائع ہوا۔Infosec اندرونی نیوز لیٹرمحققین نے پوسٹ میں لکھا، "ان دو تکنیکوں کے استعمال نے ایک دھمکی آمیز اداکار کی طرف سے ایک اعلیٰ سطح کی نفاست کا مظاہرہ کیا، جس سے یہ ظاہر ہوتا ہے کہ یہ مہم ممکنہ طور پر کسی ریاستی سرپرستی والی تنظیم کے ذریعے کی گئی تھی،" محققین نے پوسٹ میں لکھا۔

انہوں نے کہا کہ چوری کی وہ سطح جسے دھمکی دینے والے اداکار حملوں میں کمانڈ اینڈ کنٹرول (C&C) کے ساتھ بات چیت کو چھپانے کے لیے استعمال کرتے ہیں "زیادہ سے زیادہ بیان نہیں کیا جا سکتا" اور یہ بھی اشارہ کرتا ہے کہ ZuorAT پیشہ ور افراد کا کام ہے۔

"سب سے پہلے، شکوک سے بچنے کے لیے، انہوں نے ایک سرشار ورچوئل پرائیویٹ سرور (VPS) سے ابتدائی فائدہ اٹھایا جس نے سومی مواد کی میزبانی کی،" محققین نے لکھا۔ "اس کے بعد، انہوں نے پراکسی C2s کے طور پر راؤٹرز کا فائدہ اٹھایا جو روٹر سے روٹر مواصلات کے ذریعے سادہ نظروں میں چھپ گئے تاکہ مزید پتہ لگانے سے بچ سکیں۔ اور آخر کار، انہوں نے پتہ لگانے سے بچنے کے لیے وقتاً فوقتاً پراکسی راؤٹرز کو گھمایا۔

وبائی مرض کا موقع

محققین نے اس کا نام دیا۔ ٹروجن دھمکی آمیز اداکاروں کے ذریعہ استعمال کردہ فائل نام کی وجہ سے "بائیں" کے چینی لفظ کے بعد، "asdf.a." محققین نے لکھا کہ نام "کی بورڈ کو بائیں ہاتھ سے گھر کی چابیاں چلانے کی تجویز کرتا ہے۔"

دھمکی آمیز اداکاروں نے RAT کو تعینات کیا جو ممکنہ طور پر COVID-19 وبائی بیماری کے پھوٹ پڑنے کے فوراً بعد اکثر غیر پیچ شدہ SOHO آلات سے فائدہ اٹھا سکتے تھے اور بہت سے کارکنوں کو حکم دیا گیا تھا کہ گھر سے کام، جس کھول دیا انہوں نے کہا کہ سیکورٹی کے بہت سے خطرات ہیں۔

"2020 کے موسم بہار میں دور دراز کے کام کی طرف تیزی سے تبدیلی نے خطرے کے اداکاروں کے لیے نئے نیٹ ورک کے دائرے کے کمزور ترین پوائنٹس کو نشانہ بنا کر روایتی دفاعی گہرائی سے تحفظات کو ختم کرنے کا ایک نیا موقع فراہم کیا - وہ آلات جو صارفین کے ذریعہ معمول کے مطابق خریدے جاتے ہیں لیکن شاذ و نادر ہی ان کی نگرانی کی جاتی ہے۔ "محققین نے لکھا۔ "اداکار ٹارگٹ نیٹ ورک پر کم پتہ لگانے کی موجودگی کو برقرار رکھنے اور LAN کو منتقل کرنے والی حساس معلومات کا استحصال کرنے کے لیے SOHO روٹر تک رسائی کا فائدہ اٹھا سکتے ہیں۔"

ملٹی اسٹیج حملہ

محققین نے جو مشاہدہ کیا اس سے، ZuorAT ایک ملٹی اسٹیج معاملہ ہے، جس میں بنیادی فعالیت کا پہلا مرحلہ اس ڈیوائس اور LAN کے بارے میں معلومات اکٹھا کرنے کے لیے ڈیزائن کیا گیا ہے جس سے یہ منسلک ہے، نیٹ ورک ٹریفک کے پیکٹ کیپچر کو فعال کرتا ہے، اور پھر معلومات کو کمانڈ کو واپس بھیجتا ہے۔ اور کنٹرول (C&C)۔

محققین نے نوٹ کیا کہ "ہم اندازہ لگاتے ہیں کہ اس جزو کا مقصد خطرے کے اداکار کو ہدف بنائے گئے راؤٹر اور ملحقہ LAN کے ساتھ ہم آہنگ کرنا تھا تاکہ یہ تعین کیا جا سکے کہ آیا رسائی کو برقرار رکھنا ہے،" محققین نے نوٹ کیا۔

انہوں نے کہا کہ اس مرحلے میں اس بات کو یقینی بنانے کے لیے فعالیت ہے کہ ایجنٹ کی صرف ایک مثال موجود تھی، اور ایک کور ڈمپ کو انجام دینے کے لیے جو میموری میں ذخیرہ شدہ ڈیٹا جیسے اسناد، روٹنگ ٹیبلز اور آئی پی ٹیبلز کے ساتھ ساتھ دیگر معلومات حاصل کر سکتا ہے۔

ZuorAT میں ایک دوسرا جزو بھی شامل ہے جس میں معاون کمانڈز شامل ہیں جو روٹر کو بطور اداکار استعمال کرنے کے لیے بھیجے جاتے ہیں لہذا اضافی ماڈیولز کا فائدہ اٹھا کر انتخاب کرتے ہیں جنہیں متاثرہ ڈیوائس پر ڈاؤن لوڈ کیا جا سکتا ہے۔

محققین نے لکھا، "ہم نے تقریباً 2,500 ایمبیڈڈ فنکشنز کا مشاہدہ کیا، جس میں پاس ورڈ چھڑکنے سے لے کر USB کی گنتی اور کوڈ انجیکشن تک کے ماڈیولز شامل تھے۔"

انہوں نے کہا کہ یہ جزو LAN کی گنتی کی صلاحیت کے لیے صلاحیت فراہم کرتا ہے، جو خطرے کے اداکار کو LAN کے ماحول کو مزید وسعت دینے اور DNS اور HTTP ہائی جیکنگ کرنے کی اجازت دیتا ہے، جس کا پتہ لگانا مشکل ہو سکتا ہے۔

جاری دھمکی

بلیک لوٹس نے وائرس ٹوٹل اور اس کی اپنی ٹیلی میٹری کے نمونوں کا تجزیہ کیا تاکہ یہ نتیجہ اخذ کیا جا سکے کہ زیورات کے ذریعہ اب تک تقریباً 80 اہداف سے سمجھوتہ کیا گیا ہے۔

RAT کو پھیلانے کے لیے راؤٹرز تک رسائی کے لیے استعمال ہونے والی معلوم کمزوریوں میں شامل ہیں: CVE-2020-26878 اور CVE-2020-26879. خاص طور پر، دھمکی دینے والے اداکاروں نے ازگر سے مرتب کردہ ونڈوز پورٹیبل ایگزیکیوٹیبل (PE) فائل کا استعمال کیا جس میں تصور کے ثبوت کا حوالہ دیا گیا ruckus151021.py انہوں نے کہا کہ اسناد حاصل کرنے اور ZuorAT لوڈ کرنے کے لیے۔

ZuorAT کی طرف سے ظاہر کی گئی صلاحیتوں اور رویے کی وجہ سے، اس بات کا بہت زیادہ امکان ہے کہ نہ صرف یہ کہ ZuorAT کے پیچھے موجود دھمکی آمیز اداکار اب بھی فعال طور پر آلات کو نشانہ بنا رہا ہے، بلکہ "سالوں سے ٹارگٹ نیٹ ورکس کے کنارے پر ناقابل شناخت زندگی گزار رہا ہے،" محققین نے کہا۔

یہ کارپوریٹ نیٹ ورکس اور دیگر تنظیموں کے لیے ایک انتہائی خطرناک منظر پیش کرتا ہے جن کے ساتھ ریموٹ ورکرز متاثرہ آلات سے منسلک ہوتے ہیں، ایک سیکورٹی پروفیشنل نے نوٹ کیا۔

"SOHO فرم ویئر عام طور پر سیکورٹی کو ذہن میں رکھتے ہوئے نہیں بنایا جاتا ہے، خاص طور پر پری وبائی بیماری فرم ویئر جہاں SOHO راؤٹرز ایک بڑا حملہ کرنے والا ویکٹر نہیں تھے،" سائبرسیکیوریٹی فرم کے لیے جارحانہ سیکیورٹی ٹیم لیڈ Dahvid Schloss نے مشاہدہ کیا۔ ایکلون, تھریٹ پوسٹ کو ای میل میں۔

انہوں نے کہا کہ ایک بار جب کسی کمزور ڈیوائس سے سمجھوتہ کر لیا جاتا ہے، تو دھمکی دینے والے اداکاروں کے پاس اس قابل اعتماد کنکشن کے ساتھ "جو بھی ڈیوائس منسلک ہے اس پر چھیڑ چھاڑ کرنے کے لیے" آزادانہ لگام ہے جسے وہ ہائی جیک کرتے ہیں۔

Schloss نے کہا، "وہاں سے آپ نیٹ ورک میں استحصال کرنے کے لیے پراکسی چینز کا استعمال کرنے کی کوشش کر سکتے ہیں یا صرف نیٹ ورک کے اندر، باہر اور اس کے ارد گرد جانے والی تمام ٹریفک کی نگرانی کر سکتے ہیں۔"

ٹائم اسٹیمپ:

سے زیادہ نقصان دہ