Новый многоступенчатый троянец удаленного доступа (RAT), который активен с апреля 2020 года, использует известные уязвимости для нацеливания на популярные маршрутизаторы SOHO от Cisco Systems, Netgear, Asus и других.
Вредоносное ПО, получившее название ZuoRAT, может получить доступ к локальной локальной сети, захватывать пакеты, передаваемые на устройстве, и организовывать атаки «человек посередине» через захват DNS и HTTPS, по словам исследователей из подразделения Lumen Technologies по анализу угроз Black Lotus Labs.
Возможность не только прыгать в локальную сеть с устройства SOHO, а затем организовывать дальнейшие атаки предполагает, что RAT может быть работой спонсируемого государством актера, отметили они в блоге , опубликованном в среду
. Использование этих двух методов последовательно продемонстрировало высокий уровень изощренности злоумышленника, что указывает на то, что эта кампания, возможно, была выполнена организацией, спонсируемой государством», — пишут исследователи в посте.
По их словам, уровень уклонения, который злоумышленники используют для сокрытия связи с командованием и контролем (C & C) в атаках, «не может быть переоценен», а также указывает на то, что ZuoRAT является работой профессионалов.
" Во-первых, чтобы избежать подозрений, они передали первоначальный эксплойт с выделенного виртуального частного сервера (VPS), на котором размещался доброкачественный контент», — пишут исследователи. «Затем они использовали маршрутизаторы в качестве прокси-серверов C2, которые скрывались на виду через связь между маршрутизаторами, чтобы еще больше избежать обнаружения. И, наконец, они периодически вращали прокси-маршрутизаторы, чтобы избежать обнаружения».
Пандемические возможности
Исследователи назвали троянца в честь китайского слова «left» из-за имени файла, используемого злоумышленниками, «asdf.a.». Название «предполагает ходьбу клавиатуры от левых домашних клавиш», пишут исследователи.
По их словам, злоумышленники развернули RAT, чтобы воспользоваться часто неисправленными устройствами SOHO вскоре после того, как началась пандемия COVID-19, и многим работникам было приказано работать из дома, что открыло множество угроз безопасности.
«Быстрый переход на удаленную работу весной 2020 года предоставил новую возможность для злоумышленников подорвать традиционную глубокую защиту, нацеливаясь на самые слабые места нового периметра сети — устройства, которые обычно приобретаются потребителями, но редко контролируются или исправляются», — пишут исследователи. «Субъекты могут использовать доступ к маршрутизатору SOHO для поддержания присутствия с низким уровнем обнаружения в целевой сети и использовать конфиденциальную информацию, проходящую через локальную сеть».
Многоступенчатая атака
Из того, что наблюдали исследователи, ZuoRAT является многоступенчатым делом, с первым этапом основной функциональности, предназначенной для сбора информации об устройстве и локальной сети, к которой оно подключено, обеспечения пакетного захвата сетевого трафика, а затем отправки информации обратно в командно-контрольный (C & C).
«Мы оцениваем, что цель этого компонента состояла в том, чтобы акклиматизировать злоумышленника к целевому маршрутизатору и соседней локальной сети, чтобы определить, следует ли поддерживать доступ», — отметили исследователи.
По их словам, этот этап имеет функциональность для обеспечения присутствия только одного экземпляра агента и для выполнения дампа ядра, который может дать данные, хранящиеся в памяти, такие как учетные данные, таблицы маршрутизации и IP-таблицы, а также другую информацию.
ZuoRAT также включает в себя второй компонент, состоящий из вспомогательных команд, отправляемых на маршрутизатор для использования по выбору субъекта, используя дополнительные модули, которые могут быть загружены на зараженное устройство.
«Мы наблюдали около 2 500 встроенных функций, которые включали модули, начиная от распыления паролей до перечисления USB и внедрения кода», — пишут исследователи.
По их словам, этот компонент предоставляет возможность перечисления LAN, что позволяет злоумышленнику дополнительно охватить среду ЛОКАЛЬНОЙ СЕТИ, а также выполнить захват DNS и HTTP, который может быть трудно обнаружить.
Постоянная угроза
Black Lotus проанализировал образцы из VirusTotal и свою собственную телеметрию, чтобы прийти к выводу, что около 80 целей до сих пор были скомпрометированы ZuoRAT.
Известные уязвимости, используемые для доступа к маршрутизаторам для распространения RAT, включают: CVE-2020-26878 и CVE-2020-26879. В частности, злоумышленники использовали скомпилированный Python файл переносимого исполняемого файла Windows (PE), который ссылался на доказательство концепции, называемое ruckus151021.py , для получения учетных данных и загрузки ZuoRAT, сказали они.
Из-за возможностей и поведения, продемонстрированных ZuoRAT, весьма вероятно, что злоумышленник, стоящий за ZuoRAT, по-прежнему активно нацеливается на устройства, но и «живет незамеченным на краю целевых сетей в течение многих лет», говорят исследователи.
Это представляет собой чрезвычайно опасный сценарий для корпоративных сетей и других организаций с удаленными сотрудниками, подключающимися к затронутым устройствам, отметил один специалист по безопасности.
«Прошивка SOHO, как правило, не создается с учетом безопасности, особенно прошивка до пандемии , где маршрутизаторы SOHO не были большим вектором атаки», – отметил Дахвид Шлосс, руководитель группы безопасности Echelon, в электронном письме Threatpost.
Как только уязвимое устройство скомпрометировано, злоумышленники могут свободно «тыкать и подталкивать любое устройство, подключенное» к доверенному соединению, которое они захватывают, сказал он.
«Оттуда вы можете попытаться использовать прокси-цепи для запуска эксплойтов в сеть или просто отслеживать весь трафик, идущий внутрь, наружу и вокруг сети», — сказал Шлосс.