来自思科、Netgear 和其他公司的设备面临多阶段恶意软件的威胁,该恶意软件自 2020 年 XNUMX 月以来一直处于活跃状态,展示了一个复杂的威胁参与者的工作。
自 2020 年 XNUMX 月以来一直处于活动状态的新型多级远程访问木马 (RAT) 正在利用已知漏洞针对思科系统、Netgear、华硕等公司的流行 SOHO 路由器。
据 Lumen Technologies 的威胁情报部门 Black Lotus Labs 的研究人员称,这种名为 ZuoRAT 的恶意软件可以访问本地 LAN,捕获设备上传输的数据包,并通过 DNS 和 HTTPS 劫持进行中间人攻击。
他们指出,不仅能够从 SOHO 设备跳到 LAN 上然后进行进一步攻击,这表明 RAT 可能是国家资助的参与者的工作。 博客文章 星期三出版。
研究人员在帖子中写道:“这两种技术的使用一致地表明了威胁行为者的高度复杂性,表明该活动可能是由国家资助的组织进行的。”
他们表示,威胁行为者在攻击中用来掩盖与命令与控制 (C&C) 通信的规避程度“不能被夸大”,也表明 ZuoRAT 是专业人员的工作。
“首先,为了避免怀疑,他们从托管良性内容的专用虚拟专用服务器 (VPS) 中传递了初始漏洞,”研究人员写道。 “接下来,他们利用路由器作为代理 C2,通过路由器到路由器的通信隐藏在明显的视线中,以进一步避免被发现。 最后,他们定期轮换代理路由器以避免被发现。”
大流行的机会
研究人员将其命名为 木马 由于威胁行为者使用的文件名“asdf.a”,在“left”的中文单词之后。 研究人员写道,这个名字“暗示了左手 Home 键的键盘行走”。
在 COVID-19 大流行爆发后不久,威胁行为者部署 RAT 可能会利用通常未打补丁的 SOHO 设备,许多工人被命令 在家里工作,这 打开 他们说,一系列安全威胁。
“2020 年春季向远程工作的快速转变为威胁参与者提供了一个新的机会,可以通过针对新网络边界的最薄弱点(消费者通常购买但很少监控或修补的设备)来颠覆传统的纵深防御保护,”研究人员写道。 “攻击者可以利用 SOHO 路由器访问来维持目标网络上的低检测存在,并利用通过 LAN 传输的敏感信息。”
多阶段攻击
根据研究人员的观察,ZuoRAT 是一个多阶段事务,核心功能的第一阶段旨在收集有关设备及其连接的 LAN 的信息,启用网络流量的数据包捕获,然后将信息发送回命令-和控制(C&C)。
研究人员指出:“我们评估此组件的目的是使威胁参与者适应目标路由器和相邻 LAN,以确定是否保持访问。”
他们说,此阶段具有确保仅存在单个代理实例的功能,并执行核心转储,该转储可以产生存储在内存中的数据,例如凭据、路由表和 IP 表以及其他信息。
ZuoRAT 还包括第二个组件,该组件由发送到路由器以用作参与者的辅助命令组成,因此可以通过利用可以下载到受感染设备的附加模块来进行选择。
研究人员写道:“我们观察到大约 2,500 个嵌入式功能,其中包括从密码喷射到 USB 枚举和代码注入等模块。”
他们说,该组件提供了 LAN 枚举功能,这使威胁者可以进一步确定 LAN 环境的范围,并执行难以检测的 DNS 和 HTTP 劫持。
持续威胁
Black Lotus 分析了来自 VirusTotal 的样本及其自己的遥测数据,得出的结论是,到目前为止,大约 80 个目标已被 ZuoRAT 破坏。
用于访问路由器以传播 RAT 的已知漏洞包括: CVE-2020-26878 和 CVE-2020-26879. 具体来说,威胁参与者使用了一个 Python 编译的 Windows 可移植可执行 (PE) 文件,该文件引用了一个名为 ruckus151021.py 他们说,获取凭据并加载 ZuoRAT。
研究人员表示,由于 ZuoRAT 所展示的能力和行为,很可能不仅 ZuoRAT 背后的威胁行为者仍在积极瞄准设备,而且“多年来一直在目标网络的边缘不被发现”。
一位安全专业人士指出,这对于企业网络和其他远程工作人员连接到受影响设备的组织来说是一种极其危险的情况。
“SOHO 固件的构建通常没有考虑到安全性,尤其是 大流行前 SOHO 路由器不是大攻击媒介的固件,”网络安全公司进攻性安全团队负责人 Dahvid Schloss 说 梯队, 在给 Threatpost 的电子邮件中。
他说,一旦易受攻击的设备遭到入侵,威胁行为者就可以自由地“戳戳任何连接到他们劫持的受信任连接的设备”。
“从那里你可以尝试使用代理链向网络中注入漏洞,或者只是监控所有进出网络的流量,”Schloss 说。
