Un nuevo troyano de acceso remoto (RAT) multietapa que ha estado activo desde abril de 2020 está explotando vulnerabilidades conocidas para apuntar a enrutadores SOHO populares de Cisco Systems, Netgear, Asus y otros.
El malware, denominado ZuoRAT, puede acceder a la LAN local, capturar paquetes que se transmiten en el dispositivo y organizar ataques man-in-the-middle a través del secuestro de DNS y HTTPS, según investigadores del brazo de inteligencia de amenazas de Lumen Technologies, Black Lotus Labs.
La capacidad de no solo saltar a una LAN desde un dispositivo SOHO y luego organizar más ataques sugiere que la RAT puede ser el trabajo de un actor patrocinado por el estado, señalaron en una publicación de blog publicada el miércoles.
El uso de estas dos técnicas demostró congruentemente un alto nivel de sofisticación por parte de un actor de amenazas, lo que indica que esta campaña posiblemente fue realizada por una organización patrocinada por el estado", escribieron los investigadores en la publicación.
El nivel de evasión que los actores de amenazas utilizan para encubrir la comunicación con el comando y control (C&C) en los ataques "no puede ser exagerado" y también apunta a que ZuoRAT es el trabajo de profesionales, dijeron.
" Primero, para evitar sospechas, entregaron el exploit inicial de un servidor privado virtual dedicado (VPS) que alojaba contenido benigno", escribieron los investigadores. "A continuación, aprovecharon los enrutadores como proxy C2 que se ocultaban a plena vista a través de la comunicación de enrutador a enrutador para evitar aún más la detección. Y finalmente, giraron los enrutadores proxy periódicamente para evitar la detección".
Oportunidad pandémica
Los investigadores nombraron el troyano después de la palabra china para "izquierda" debido al nombre de archivo utilizado por los actores de amenazas, "asdf.a". El nombre "sugiere caminar por el teclado de las teclas de inicio de la izquierda", escribieron los investigadores.
Los actores de amenazas desplegaron el RAT probablemente para aprovechar los dispositivos SOHO a menudo sin parches poco después de que estallara la pandemia de COVID-19 y se ordenó a muchos trabajadores que trabajaran desde casa, lo que abrió una serie de amenazas de seguridad, dijeron.
"El rápido cambio al trabajo remoto en la primavera de 2020 presentó una nueva oportunidad para que los actores de amenazas subviertan las protecciones tradicionales de defensa en profundidad al apuntar a los puntos más débiles del nuevo perímetro de la red: dispositivos que los consumidores compran rutinariamente pero que rara vez son monitoreados o parcheados", escribieron los investigadores. "Los actores pueden aprovechar el acceso al enrutador SOHO para mantener una presencia de baja detección en la red objetivo y explotar la información confidencial que transita por la LAN".
Ataque en varias etapas
Por lo que observaron los investigadores, ZuoRAT es un asunto de varias etapas, con la primera etapa de la funcionalidad central diseñada para obtener información sobre el dispositivo y la LAN a la que está conectado, permitir la captura de paquetes del tráfico de red y luego enviar la información de vuelta al comando y control (C & C).
"Evaluamos que el propósito de este componente era aclimatar al actor de la amenaza al enrutador objetivo y la LAN adyacente para determinar si mantener el acceso", señalaron los investigadores.
Esta etapa tiene funcionalidad para garantizar que solo una instancia del agente esté presente, y para realizar un volcado de núcleo que podría producir datos almacenados en la memoria, como credenciales, tablas de enrutamiento y tablas de IP, así como otra información, dijeron.
ZuoRAT también incluye un segundo componente compuesto por comandos auxiliares enviados al router para su uso como el actor así lo elija aprovechando módulos adicionales que se pueden descargar en el dispositivo infectado.
"Observamos aproximadamente 2.500 funciones integradas, que incluían módulos que iban desde la pulverización de contraseñas hasta la enumeración USB y la inyección de código", escribieron los investigadores.
Este componente proporciona capacidad para la capacidad de enumeración de LAN, lo que permite al actor de amenazas ampliar el alcance del entorno LAN y también realizar secuestros de DNS y HTTP, que pueden ser difíciles de detectar, dijeron.
Amenaza continua
Black Lotus analizó muestras de VirusTotal y su propia telemetría para concluir que alrededor de 80 objetivos hasta ahora han sido comprometidos por ZuoRAT.
Las vulnerabilidades conocidas explotadas para acceder a los enrutadores para propagar la RAT incluyen: CVE-2020-26878 y CVE-2020-26879. Específicamente, los actores de amenazas utilizaron un archivo ejecutable portátil (PE) de Windows compilado por Python que hacía referencia a una prueba de concepto llamada ruckus151021.py para obtener credenciales y cargar ZuoRAT, dijeron.
Debido a las capacidades y el comportamiento demostrado por ZuoRAT, es muy probable que no solo el actor de amenazas detrás de ZuoRAT todavía esté apuntando activamente a los dispositivos, sino que haya estado "viviendo sin ser detectado en el borde de las redes específicas durante años", dijeron los investigadores.
Esto presenta un escenario extremadamente peligroso para las redes corporativas y otras organizaciones con trabajadores remotos que se conectan a los dispositivos afectados, señaló un profesional de seguridad.
"El firmware de SOHO generalmente no se construye teniendo en cuenta la seguridad, especialmente el firmware anterior a la pandemia donde los enrutadores SOHO no eran un gran vector de ataque", observó Dahvid Schloss, líder del equipo de seguridad ofensiva de la firma de ciberseguridad Echelon, en un correo electrónico a Threatpost.
Una vez que un dispositivo vulnerable se ve comprometido, los actores de amenazas tienen rienda suelta "para pinchar y pinchar en cualquier dispositivo que esté conectado" a la conexión confiable que secuestran, dijo.
"A partir de ahí, podría intentar usar cadenas de proxy para lanzar exploits a la red o simplemente monitorear todo el tráfico que entra, sale y rodea la red", dijo Schloss.