Ein neuartiger mehrstufiger Remote-Access-Trojaner (RAT), der seit April 2020 aktiv ist, nutzt bekannte Schwachstellen aus, um beliebte SOHO-Router von Cisco Systems, Netgear, Asus und anderen anzugreifen.

Die Malware mit dem Namen ZuoRAT kann auf das lokale LAN zugreifen, auf dem Gerät übertragene Pakete erfassen und Man-in-the-Middle-Angriffe durch DNS- und HTTPS-Hijacking inszenieren, so Forscher von Lumen Technologies Threat-Intelligence-Arm Black Lotus Labs.

Die Fähigkeit, nicht nur von einem SOHO-Gerät in ein LAN zu springen und dann weitere Angriffe zu inszenieren, deutet darauf hin, dass die RAT das Werk eines staatlich geförderten Akteurs sein könnte, stellten sie fest a blog post Mittwoch veröffentlicht.„Der Einsatz dieser beiden Techniken zeigte übereinstimmend ein hohes Maß an Raffinesse eines Bedrohungsakteurs, was darauf hindeutet, dass diese Kampagne möglicherweise von einer staatlich geförderten Organisation durchgeführt wurde“, schrieben die Forscher in der Post.

Das Ausmaß der Umgehung, das Bedrohungsakteure verwenden, um die Kommunikation mit Command-and-Control (C&C) bei den Angriffen zu verschleiern, „kann nicht genug betont werden“ und deutet auch darauf hin, dass ZuoRAT das Werk von Fachleuten ist, sagten sie.

"Erstens, um Verdacht zu vermeiden, haben sie den ersten Exploit von einem dedizierten Virtual Private Server (VPS) weitergegeben, der harmlose Inhalte gehostet hat“, schrieben die Forscher. „Als nächstes nutzten sie Router als Proxy-C2s, die sich durch die Router-zu-Router-Kommunikation in der Öffentlichkeit versteckten, um eine Erkennung weiter zu vermeiden. Und schließlich wechselten sie die Proxy-Router regelmäßig, um eine Erkennung zu vermeiden.“

Pandemie-Chance

Forscher benannten die Trojaner nach dem chinesischen Wort für „links“ aufgrund des von den Angreifern verwendeten Dateinamens „asdf.a“. Der Name „suggeriert das Gehen der linken Home-Tasten auf der Tastatur“, schrieben die Forscher.

Bedrohungsakteure setzten die RAT ein, um sich wahrscheinlich oft ungepatchte SOHO-Geräte zunutze zu machen, kurz nachdem die COVID-19-Pandemie ausgebrochen war und viele Arbeiter dazu aufgefordert wurden Von zuhause aus arbeiten, Die eröffnet eine Vielzahl von Sicherheitsbedrohungen, sagten sie.

„Die rasche Umstellung auf Remote-Arbeit im Frühjahr 2020 bot Bedrohungsakteuren eine neue Gelegenheit, traditionelle Tiefenverteidigungsschutzmaßnahmen zu untergraben, indem sie auf die schwächsten Punkte des neuen Netzwerkperimeters abzielen – Geräte, die routinemäßig von Verbrauchern gekauft, aber selten überwacht oder gepatcht werden “, schrieben Forscher. „Akteure können den SOHO-Routerzugriff nutzen, um eine Präsenz mit geringer Erkennung im Zielnetzwerk aufrechtzuerhalten und vertrauliche Informationen auszunutzen, die das LAN passieren.“

Mehrstufiger Angriff

Den Beobachtungen der Forscher zufolge ist ZuoRAT eine mehrstufige Angelegenheit, wobei die erste Stufe der Kernfunktionalität darauf ausgelegt ist, Informationen über das Gerät und das LAN, mit dem es verbunden ist, zu sammeln, die Paketerfassung des Netzwerkverkehrs zu ermöglichen und die Informationen dann an den Befehl zurückzusenden -und-Kontrolle (C&C).

„Wir gehen davon aus, dass der Zweck dieser Komponente darin bestand, den Angreifer an den Zielrouter und das angrenzende LAN zu gewöhnen, um festzustellen, ob der Zugriff aufrechterhalten werden soll“, stellten die Forscher fest.

Diese Phase hat Funktionen, um sicherzustellen, dass nur eine einzige Instanz des Agenten vorhanden war, und um einen Core-Dump durchzuführen, der im Speicher gespeicherte Daten wie Anmeldeinformationen, Routing-Tabellen und IP-Tabellen sowie andere Informationen liefern könnte, sagten sie.

ZuoRAT enthält auch eine zweite Komponente, die aus Hilfsbefehlen besteht, die an den Router gesendet werden, um sie nach Belieben des Akteurs zu verwenden, indem zusätzliche Module genutzt werden, die auf das infizierte Gerät heruntergeladen werden können.

„Wir haben ungefähr 2,500 eingebettete Funktionen beobachtet, darunter Module, die vom Passwortsprühen bis zur USB-Aufzählung und Code-Injektion reichen“, schrieben die Forscher.

Diese Komponente bietet die Fähigkeit zur LAN-Aufzählung, die es dem Angreifer ermöglicht, die LAN-Umgebung weiter auszuspionieren und auch DNS- und HTTP-Hijacking durchzuführen, was schwierig zu erkennen sein kann, sagten sie.

Andauernde Bedrohung

Black Lotus analysierte Proben von VirusTotal und seiner eigenen Telemetrie, um zu dem Schluss zu kommen, dass bisher etwa 80 Ziele von ZuoRAT kompromittiert wurden.

Zu den bekannten Schwachstellen, die ausgenutzt werden, um auf Router zuzugreifen und die RAT zu verbreiten, gehören: CVE-2020-26878 und CVE-2020-26879. Insbesondere verwendeten Bedrohungsakteure eine mit Python kompilierte Windows Portable Executable (PE)-Datei, die auf einen Proof of Concept mit dem Namen Krawall151021.py Anmeldeinformationen zu erhalten und ZuoRAT zu laden, sagten sie.

Aufgrund der Fähigkeiten und des Verhaltens von ZuoRAT ist es sehr wahrscheinlich, dass der Bedrohungsakteur hinter ZuoRAT nicht nur immer noch aktiv auf Geräte abzielt, sondern „seit Jahren unentdeckt am Rande von Zielnetzwerken lebt“, sagten Forscher.

Dies stellt ein äußerst gefährliches Szenario für Unternehmensnetzwerke und andere Organisationen dar, in denen sich Remote-Mitarbeiter mit betroffenen Geräten verbinden, stellte ein Sicherheitsexperte fest.

„Die SOHO-Firmware ist in der Regel nicht auf Sicherheit ausgelegt, insbesondere nicht Prä-Pandemie Firmware, bei der SOHO-Router kein großer Angriffsvektor waren“, bemerkte Dahvid Schloss, Teamleiter für offensive Sicherheit bei einer Cybersicherheitsfirma Echelon, in einer E-Mail an Threatpost.

Sobald ein anfälliges Gerät kompromittiert ist, haben Angreifer freie Hand, „an jedem Gerät zu stochern und zu stoßen“, das mit der vertrauenswürdigen Verbindung verbunden ist, die sie entführen, sagte er.

„Von dort aus könnten Sie versuchen, Proxychains zu verwenden, um Exploits in das Netzwerk zu werfen, oder einfach den gesamten Datenverkehr überwachen, der im Netzwerk ein- und ausgeht“, sagte Schloss.