يستغل حصان طروادة الجديد متعدد المراحل للوصول عن بعد (RAT) الذي كان نشطا منذ أبريل 2020 نقاط الضعف المعروفة لاستهداف أجهزة توجيه SOHO الشائعة من Cisco Systems و Netgear و Asus وغيرها.
يمكن للبرنامج الضار ، الذي يطلق عليه اسم ZuoRAT ، الوصول إلى الشبكة المحلية المحلية ، والتقاط الحزم التي يتم نقلها على الجهاز وشن هجمات رجل في الوسط من خلال اختطاف DNS و HTTPS ، وفقا لباحثين من ذراع استخبارات التهديدات لشركة Lumen Technologies Black Lotus Labs.
إن القدرة على القفز ليس فقط على شبكة LAN من جهاز SOHO ثم شن المزيد من الهجمات تشير إلى أن RAT قد يكون من عمل ممثل ترعاه الدولة ، كما أشاروا في منشور مدونة نشر يوم الأربعاء.
" وأظهر استخدام هاتين التقنيتين بشكل متطابق مستوى عاليا من التطور من قبل جهة فاعلة تهديدية، مما يشير إلى أن هذه الحملة ربما تم تنفيذها من قبل منظمة ترعاها الدولة".
وقالوا إن مستوى التهرب الذي تستخدمه الجهات الفاعلة المهددة للتستر على التواصل مع القيادة والسيطرة (C & C) في الهجمات "لا يمكن المبالغة فيه" ويشير أيضا إلى أن ZuoRAT هو عمل محترفين.
" أولا ، لتجنب الشك ، قاموا بتسليم الاستغلال الأولي من خادم خاص افتراضي مخصص (VPS) استضاف محتوى حميدا ، "كتب الباحثون. "بعد ذلك ، استفادوا من أجهزة التوجيه كوكيل C2s التي اختبأت على مرأى من الجميع من خلال الاتصال من جهاز التوجيه إلى جهاز التوجيه لتجنب المزيد من الكشف. وأخيرا ، قاموا بتدوير أجهزة التوجيه الوكيلة بشكل دوري لتجنب الكشف. "
فرصة الجائحة
أطلق الباحثون على حصان طروادة اسم الكلمة الصينية "اليسار" بسبب اسم الملف المستخدم من قبل الجهات الفاعلة المهددة ، "asdf.a". الاسم "يوحي بالمشي على لوحة المفاتيح من مفاتيح المنزل اليسرى" ، كتب الباحثون.
وقالوا إن الجهات الفاعلة في مجال التهديد نشرت RAT التي من المرجح أن تستفيد من أجهزة SOHO غير المصححة في كثير من الأحيان بعد فترة وجيزة من تفشي جائحة COVID-19 وأمر العديد من العمال بالعمل من المنزل ، مما فتح مجموعة من التهديدات الأمنية.
وكتب الباحثون: "قدم التحول السريع إلى العمل عن بعد في ربيع عام 2020 فرصة جديدة للجهات الفاعلة المهددة لتخريب الحماية الدفاعية التقليدية المتعمقة من خلال استهداف أضعف النقاط في محيط الشبكة الجديد – الأجهزة التي يتم شراؤها بشكل روتيني من قبل المستهلكين ولكن نادرا ما تتم مراقبتها أو تصحيحها". "يمكن للجهات الفاعلة الاستفادة من الوصول إلى جهاز التوجيه SOHO للحفاظ على وجود منخفض الكشف على الشبكة المستهدفة واستغلال المعلومات الحساسة التي تعبر الشبكة المحلية."
هجوم متعدد المراحل
من خلال ما لاحظه الباحثون ، فإن ZuoRAT هو شأن متعدد المراحل ، مع المرحلة الأولى من الوظائف الأساسية المصممة لجمع معلومات حول الجهاز والشبكة المحلية التي يتصل بها ، وتمكين التقاط الحزم لحركة مرور الشبكة ، ثم إرسال المعلومات مرة أخرى إلى القيادة والتحكم (C & C).
وأشار الباحثون إلى أنه "نحن نقيم الغرض من هذا المكون هو التأقلم مع الفاعل المهدد لجهاز التوجيه المستهدف والشبكة المحلية المجاورة لتحديد ما إذا كان سيتم الحفاظ على إمكانية الوصول".
وقالوا إن هذه المرحلة لديها وظائف لضمان وجود مثيل واحد فقط من الوكيل ، وإجراء تفريغ أساسي يمكن أن ينتج بيانات مخزنة في الذاكرة مثل بيانات الاعتماد وجداول التوجيه وجداول IP ، بالإضافة إلى معلومات أخرى.
يتضمن ZuoRAT أيضا مكونا ثانيا يتكون من أوامر مساعدة يتم إرسالها إلى جهاز التوجيه لاستخدامها كما يختار الممثل ذلك من خلال الاستفادة من وحدات إضافية يمكن تنزيلها على الجهاز المصاب.
"لقد لاحظنا ما يقرب من 2500 وظيفة مضمنة ، والتي تضمنت وحدات تتراوح من رش كلمة المرور إلى تعداد USB وحقن التعليمات البرمجية" ، كتب الباحثون.
وقالوا إن هذا المكون يوفر القدرة على تعداد الشبكة المحلية ، مما يسمح لجهة التهديد بتوسيع نطاق بيئة الشبكة المحلية وكذلك إجراء اختطاف DNS و HTTP ، والذي قد يكون من الصعب اكتشافه.
تهديد مستمر
قامت شركة Black Lotus بتحليل عينات من VirusTotal والقياس عن بعد الخاص بها لاستنتاج أن حوالي 80 هدفا حتى الآن قد تم اختراقها بواسطة ZuoRAT.
تتضمن الثغرات الأمنية المعروفة التي تم استغلالها للوصول إلى أجهزة التوجيه لنشر RAT ما يلي: CVE-2020-26878 وCVE-2020-26879. على وجه التحديد ، استخدمت الجهات الفاعلة المهددة ملف Windows القابل للتنفيذ المحمول (PE) الذي تم تجميعه بواسطة Python والذي يشير إلى دليل على المفهوم يسمى ruckus151021.py للحصول على بيانات اعتماد وتحميل ZuoRAT ، على حد قولهم.
نظرا للقدرات والسلوك الذي أظهرته ZuoRAT ، فمن المحتمل جدا أنه ليس فقط أن الفاعل التهديدي وراء ZuoRAT لا يزال يستهدف الأجهزة بنشاط ، ولكنه كان "يعيش دون اكتشاف على حافة الشبكات المستهدفة لسنوات" ، كما قال الباحثون.
وهذا يمثل سيناريو خطيرا للغاية لشبكات الشركات والمؤسسات الأخرى التي يتصل فيها العاملون عن بعد بالأجهزة المتأثرة، كما أشار أحد المتخصصين في مجال الأمن.
"عادة لا يتم بناء البرامج الثابتة SOHO مع وضع الأمان في الاعتبار ، خاصة البرامج الثابتة قبل الوباء حيث لم تكن أجهزة توجيه SOHO ناقلا كبيرا للهجوم" ، لاحظ Dahvid Schloss ، قائد فريق الأمن الهجومي لشركة الأمن السيبراني Echelon ، في رسالة بريد إلكتروني إلى Threatpost.
وقال إنه بمجرد اختراق جهاز ضعيف ، يكون لدى الجهات الفاعلة المهددة العنان "لكزة وحث أي جهاز متصل" بالاتصال الموثوق به الذي يختطفونه.
"من هناك يمكنك محاولة استخدام سلاسل البروكسي لإلقاء عمليات الاستغلال في الشبكة أو مجرد مراقبة جميع حركة المرور الداخلة والخارجة وحول الشبكة" ، قال شلوس.