自 2020 年 4 月以来一直活跃的新型多级远程访问木马 (RAT) 正在利用已知漏洞来攻击来自思科系统、Netgear、华硕等公司的流行 SOHO 路由器。
据Lumen Technologies威胁情报部门Black Lotus Labs的研究人员称,这种名为ZuoRAT的恶意软件可以访问本地LAN,捕获设备上传输的数据包,并通过DNS和HTTPS劫持进行中间人攻击。
他们在周三发表的 一篇博客文章中 指出,不仅能够从SOHO设备跳上LAN,然后进行进一步的攻击,这表明RAT可能是国家赞助的演员的作品。
这两种技术的使用一致地证明了威胁行为者的高度复杂性,表明该活动可能是由国家赞助的组织进行的,“研究人员在帖子中写道。
他们说,威胁行为者用来掩盖攻击中与指挥和控制(C&C)通信的逃避程度“不能被夸大”,并且还指出ZuoRAT是专业人士的工作。
“首先,为了避免怀疑,他们从托管良性内容的专用虚拟专用服务器(VPS)中传递了初始漏洞,“研究人员写道。 “接下来,他们利用路由器作为代理C2,通过路由器到路由器的通信隐藏在众目睽睽之下,以进一步避免被发现。 最后,他们定期轮换代理路由器以避免被发现。
大流行机会
研究人员以中文单词“left”命名该 木马 ,因为威胁行为者使用的文件名为“asdf.a”。这个名字“暗示了左手Home键的键盘行走,”研究人员写道。
他们说,在 COVID-19 大流行爆发后不久,威胁行为者部署了 RAT,可能会利用经常未打补丁的 SOHO 设备,许多工人被命令 在家工作,这 带来了 许多安全威胁。
研究人员写道:“2020 年春季向远程工作的快速转变为威胁行为者提供了一个新的机会,通过针对新网络边界的最薄弱点(消费者经常购买但很少监控或修补的设备)来颠覆传统的纵深防御保护。 “参与者可以利用SOHO路由器访问来维持目标网络上的低检测存在,并利用通过LAN的敏感信息。
多阶段攻击
根据研究人员的观察,ZuoRAT是一个多阶段的事情,核心功能的第一阶段旨在收集有关设备及其连接的LAN的信息,启用网络流量的数据包捕获,然后将信息发送回命令和控制(C&C)。
“我们评估此组件的目的是使威胁参与者适应目标路由器和相邻的LAN,以确定是否保持访问,”研究人员指出。
他们说,这个阶段的功能是确保只存在代理的单个实例,并执行核心转储,该转储可以产生存储在内存中的数据,例如凭据,路由表和IP表以及其他信息。
ZuoRAT还包括第二个组件,该组件由发送到路由器的辅助命令组成,通过利用可下载到受感染设备上的其他模块,作为参与者选择。
“我们观察到大约2,500个嵌入式功能,其中包括从密码喷射到USB枚举和代码注入的模块,”研究人员写道。
他们说,该组件提供了LAN枚举功能,允许威胁行为者进一步确定LAN环境的范围,并执行DNS和HTTP劫持,这可能难以检测到。
持续威胁
Black Lotus分析了VirusTotal的样本及其自己的遥测数据,得出的结论是,到目前为止,ZuoRAT已经破坏了大约80个目标。
用于访问路由器以传播 RAT 的已知漏洞包括:CVE-2020-26878 和 CVE-2020-26879。 具体来说,威胁行为者使用Python编译的Windows可移植可执行文件(PE)文件,该文件引用了一个名为 ruckus151021.py 的概念证明来获取凭据并加载ZuoRAT。
由于ZuoRAT展示的功能和行为,研究人员说,由于ZuoRAT背后的威胁行为者很可能仍在积极瞄准设备,而且多年来一直生活在目标网络的边缘未被发现”。
一位安全专业人员指出,对于企业网络和其他组织来说,远程工作人员连接到受影响的设备,这带来了极其危险的情况。
“SOHO 固件在构建时通常不会考虑安全性,尤其是在大流行前的固件中,SOHO 路由器不是主要的攻击媒介,”网络安全公司 Echelon 的进攻安全团队负责人 Dahvid Schloss 在给 Threatpost 的电子邮件中观察到。
他说,一旦易受攻击的设备受到损害,威胁行为者就可以自由地“戳戳任何连接到他们劫持的受信任连接的设备”。
“从那里你可以尝试使用代理链向网络投放漏洞,或者只是监控进出网络的所有流量,”Schloss说。