Um novo cavalo de Tróia de acesso remoto (RAT) de vários estágios que está ativo desde abril de 2020 está explorando vulnerabilidades conhecidas para atingir roteadores SOHO populares da Cisco Systems, Netgear, Asus e outros.
O malware, apelidado de ZuoRAT, pode acessar a LAN local, capturar pacotes que estão sendo transmitidos no dispositivo e realizar ataques man-in-the-middle por meio de sequestro de DNS e HTTPS, de acordo com pesquisadores do braço de inteligência de ameaças da Lumen Technologies, Black Lotus Labs.
A capacidade de não apenas pular em uma LAN de um dispositivo SOHO e, em seguida, encenar novos ataques sugere que o RAT pode ser o trabalho de um ator patrocinado pelo Estado, observaram em um post publicado na quarta-feira.
O uso dessas duas técnicas demonstrou de forma congruente um alto nível de sofisticação por um agente de ameaça, indicando que essa campanha foi possivelmente realizada por uma organização patrocinada pelo Estado", escreveram os pesquisadores no post.
O nível de evasão que os agentes de ameaças usam para encobrir a comunicação com comando e controle (C & C) nos ataques "não pode ser exagerado" e também aponta para o ZuoRAT ser o trabalho de profissionais, disseram eles.
" Primeiro, para evitar suspeitas, eles entregaram a exploração inicial de um servidor privado virtual (VPS) dedicado que hospedava conteúdo benigno ", escreveram os pesquisadores. "Em seguida, eles aproveitaram os roteadores como C2s de proxy que se escondiam à vista de todos através da comunicação de roteador para roteador para evitar ainda mais a detecção. E, finalmente, eles giravam roteadores proxy periodicamente para evitar a detecção."
Oportunidade de pandemia
Os pesquisadores nomearam o trojan após a palavra chinesa para "esquerda" por causa do nome do arquivo usado pelos agentes de ameaça, "asdf.a". O nome "sugere o teclado andando das teclas iniciais esquerdas", escreveram os pesquisadores.
Os agentes de ameaças implantaram o RAT provavelmente para tirar proveito de dispositivos SOHO muitas vezes não corrigidos logo após o início da pandemia de COVID-19 e muitos trabalhadores foram ordenados a trabalhar em casa, o que abriu uma série de ameaças à segurança, disseram eles.
"A rápida mudança para o trabalho remoto na primavera de 2020 apresentou uma nova oportunidade para os agentes de ameaças subverterem as proteções tradicionais de defesa em profundidade, visando os pontos mais fracos do novo perímetro de rede – dispositivos que são rotineiramente comprados pelos consumidores, mas raramente monitorados ou corrigidos", escreveram os pesquisadores. "Os atores podem aproveitar o acesso ao roteador SOHO para manter uma presença de baixa detecção na rede de destino e explorar informações confidenciais que transitam pela LAN."
Ataque em vários estágios
Pelo que os pesquisadores observaram, o ZuoRAT é um caso de vários estágios, com o primeiro estágio da funcionalidade principal projetado para coletar informações sobre o dispositivo e a LAN à qual está conectado, permitir a captura de pacotes do tráfego de rede e, em seguida, enviar as informações de volta ao comando e controle (C & C).
"Avaliamos que o objetivo desse componente era aclimatar o agente de ameaça ao roteador alvo e à LAN adjacente para determinar se deve manter o acesso", observaram os pesquisadores.
Esse estágio tem funcionalidade para garantir que apenas uma única instância do agente esteja presente e para executar um dump principal que possa gerar dados armazenados na memória, como credenciais, tabelas de roteamento e tabelas IP, além de outras informações, disseram eles.
O ZuoRAT também inclui um segundo componente composto por comandos auxiliares enviados ao roteador para uso como o ator assim escolhe, aproveitando módulos adicionais que podem ser baixados para o dispositivo infectado.
"Observamos aproximadamente 2.500 funções incorporadas, que incluíam módulos que variavam de pulverização de senha a enumeração USB e injeção de código", escreveram os pesquisadores.
Esse componente fornece capacidade para a capacidade de enumeração de LAN, o que permite que o agente de ameaça aprofunde ainda mais o escopo do ambiente de LAN e também execute o sequestro de DNS e HTTP, o que pode ser difícil de detectar, disseram eles.
Ameaça contínua
A Black Lotus analisou amostras do VirusTotal e sua própria telemetria para concluir que cerca de 80 alvos até agora foram comprometidos pelo ZuoRAT.
As vulnerabilidades conhecidas exploradas para acessar roteadores para espalhar o RAT incluem: CVE-2020-26878 e CVE-2020-26879. Especificamente, os agentes de ameaças usaram um arquivo executável portátil (PE) do Windows compilado pelo Python que fazia referência a uma prova de conceito chamada ruckus151021.py para obter credenciais e carregar o ZuoRAT, disseram eles.
Devido às capacidades e ao comportamento demonstrados pelo ZuoRAT, é altamente provável que não apenas o agente de ameaças por trás do ZuoRAT ainda esteja ativamente visando dispositivos, mas tenha "vivido sem ser detectado na borda das redes direcionadas por anos", disseram os pesquisadores.
Isso apresenta um cenário extremamente perigoso para redes corporativas e outras organizações com trabalhadores remotos se conectando a dispositivos afetados, observou um profissional de segurança.
"O firmware SOHO normalmente não é construído com a segurança em mente, especialmente o firmware pré-pandemia , onde os roteadores SOHO não eram um grande vetor de ataque", observou Dahvid Schloss, líder da equipe de segurança ofensiva da empresa de segurança cibernética Echelon, em um e-mail para a Threatpost.
Uma vez que um dispositivo vulnerável é comprometido, os agentes de ameaças têm liberdade "para cutucar e cutucar qualquer dispositivo que esteja conectado" à conexão confiável que eles sequestram, disse ele.
"A partir daí, você pode tentar usar proxychains para lançar exploits na rede ou apenas monitorar todo o tráfego que entra, sai e circula pela rede", disse Schloss.