Un nouveau cheval de Troie d’accès à distance à plusieurs étapes (RAT) actif depuis avril 2020 exploite des vulnérabilités connues pour cibler les routeurs SOHO populaires de Cisco Systems, Netgear, Asus et autres.
Le malware, baptisé ZuoRAT, peut accéder au réseau local local, capturer les paquets transmis sur l’appareil et organiser des attaques de l’homme du milieu via le détournement DNS et HTTPS, selon les chercheurs de Black Lotus Labs, la branche de renseignement sur les menaces de Lumen Technologies.
La possibilité non seulement de sauter sur un réseau local à partir d’un appareil SOHO, puis d’organiser d’autres attaques, suggère que le RAT pourrait être l’œuvre d’un acteur parrainé par l’État, ont-ils noté dans un article de blog publié mercredi.
L’utilisation de ces deux techniques a démontré de manière congruente un haut niveau de sophistication par un acteur de la menace, indiquant que cette campagne a peut-être été réalisée par une organisation parrainée par l’État », ont écrit les chercheurs dans le post.
Le niveau d’évasion que les acteurs de la menace utilisent pour dissimuler la communication avec le commandement et le contrôle (C & C) dans les attaques « ne peut pas être surestimé » et indique également que ZuoRAT est l’œuvre de professionnels, ont-ils déclaré.
" Tout d’abord, pour éviter les soupçons, ils ont transmis l’exploit initial d’un serveur privé virtuel (VPS) dédié qui hébergeait du contenu bénin », ont écrit les chercheurs. « Ensuite, ils ont exploité les routeurs comme des C2 proxy qui se cachaient à la vue de tous via la communication de routeur à routeur pour éviter davantage la détection. Et enfin, ils ont fait tourner les routeurs proxy périodiquement pour éviter d’être détectés.
Opportunité de pandémie
Les chercheurs ont nommé le cheval de Troie d’après le mot chinois pour « gauche » en raison du nom de fichier utilisé par les acteurs de la menace, « asdf.a ». Le nom « suggère la marche du clavier des touches de la maison gauche », ont écrit les chercheurs.
Les acteurs de la menace ont déployé le RAT susceptible de tirer parti des appareils SOHO souvent non corrigés peu de temps après le début de la pandémie de COVID-19 et de nombreux travailleurs ont reçu l’ordre de travailler à domicile, ce qui a ouvert une foule de menaces à la sécurité, ont-ils déclaré.
« Le passage rapide au travail à distance au printemps 2020 a offert aux acteurs de la menace une nouvelle occasion de subvertir les protections traditionnelles de défense en profondeur en ciblant les points les plus faibles du nouveau périmètre du réseau – des appareils qui sont régulièrement achetés par les consommateurs mais rarement surveillés ou corrigés », ont écrit les chercheurs. « Les acteurs peuvent tirer parti de l’accès au routeur SOHO pour maintenir une présence à faible détection sur le réseau cible et exploiter les informations sensibles transitant par le réseau local. »
Attaque en plusieurs étapes
D’après ce que les chercheurs ont observé, ZuoRAT est une affaire en plusieurs étapes, avec la première étape de la fonctionnalité de base conçue pour glaner des informations sur le périphérique et le réseau local auquel il est connecté, permettre la capture de paquets du trafic réseau, puis renvoyer les informations à la commande et au contrôle (C & C).
« Nous estimons que le but de ce composant était d’acclimater l’acteur de la menace au routeur ciblé et au réseau local adjacent afin de déterminer s’il fallait maintenir l’accès », ont noté les chercheurs.
Cette étape a la fonctionnalité de s’assurer qu’une seule instance de l’agent était présente, et d’effectuer un vidage de base qui pourrait produire des données stockées en mémoire telles que les informations d’identification, les tables de routage et les tables IP, ainsi que d’autres informations, ont-ils déclaré.
ZuoRAT comprend également un deuxième composant composé de commandes auxiliaires envoyées au routeur pour être utilisées comme l’acteur le souhaite en tirant parti de modules supplémentaires qui peuvent être téléchargés sur le périphérique infecté.
« Nous avons observé environ 2 500 fonctions intégrées, qui comprenaient des modules allant de la pulvérisation de mots de passe à l’énumération USB et à l’injection de code », ont écrit les chercheurs.
Ce composant fournit une capacité d’énumération LAN, ce qui permet à l’acteur de la menace de définir davantage l’environnement LAN et d’effectuer des détournements DNS et HTTP, ce qui peut être difficile à détecter, ont-ils déclaré.
Menace permanente
Black Lotus a analysé des échantillons de VirusTotal et de sa propre télémétrie pour conclure qu’environ 80 cibles jusqu’à présent ont été compromises par ZuoRAT.
Les vulnérabilités connues exploitées pour accéder aux routeurs afin de propager le RAT incluent : CVE-2020-26878 et CVE-2020-26879. Plus précisément, les acteurs de la menace ont utilisé un fichier exécutable portable (PE) Windows compilé en Python qui faisait référence à une preuve de concept appelée ruckus151021.py pour obtenir des informations d’identification et charger ZuoRAT, ont-ils déclaré.
En raison des capacités et du comportement démontrés par ZuoRAT, il est fort probable que non seulement l’acteur de la menace derrière ZuoRAT cible toujours activement les appareils, mais qu’il « vit sans être détecté à la périphérie des réseaux ciblés depuis des années », ont déclaré les chercheurs.
Cela présente un scénario extrêmement dangereux pour les réseaux d’entreprise et d’autres organisations avec des travailleurs à distance se connectant aux appareils affectés, a noté un professionnel de la sécurité.
« Le micrologiciel SOHO n’est généralement pas conçu pour la sécurité, en particulier le micrologiciel pré-pandémique où les routeurs SOHO n’étaient pas un vecteur d’attaque important », a observé Dahvid Schloss, responsable de l’équipe de sécurité offensive pour la société de cybersécurité Echelon, dans un courriel à Threatpost.
Une fois qu’un appareil vulnérable est compromis, les acteurs de la menace ont alors carte blanche « pour piquer et pousser n’importe quel appareil connecté » à la connexion de confiance qu’ils détournent, a-t-il déclaré.
« À partir de là, vous pouvez essayer d’utiliser des proxychains pour lancer des exploits dans le réseau ou simplement surveiller tout le trafic entrant, sortant et autour du réseau », a déclaré Schloss.