Un nouveau cheval de Troie d'accès à distance (RAT) à plusieurs niveaux actif depuis avril 2020 exploite des vulnérabilités connues pour cibler les routeurs SOHO populaires de Cisco Systems, Netgear, Asus et autres.

Le malware, surnommé ZuoRAT, peut accéder au LAN local, capturer les paquets transmis sur l'appareil et organiser des attaques de type "man-in-the-middle" via le détournement DNS et HTTPS, selon les chercheurs de Black Lotus Labs, la branche de renseignement sur les menaces de Lumen Technologies.

La possibilité non seulement de sauter sur un réseau local à partir d'un appareil SOHO, puis de lancer d'autres attaques suggère que le RAT pourrait être l'œuvre d'un acteur parrainé par l'État, ont-ils noté dans un blog publié mercredi."L'utilisation de ces deux techniques a démontré de manière congruente un haut niveau de sophistication par un acteur de la menace, indiquant que cette campagne a peut-être été menée par une organisation parrainée par l'État", ont écrit les chercheurs dans le post.

Le niveau d'évasion que les acteurs de la menace utilisent pour dissimuler la communication avec le commandement et le contrôle (C&C) dans les attaques "ne peut pas être surestimé" et indique également que ZuoRAT est le travail de professionnels, ont-ils déclaré.

"Tout d'abord, pour éviter tout soupçon, ils ont transmis l'exploit initial à partir d'un serveur privé virtuel (VPS) dédié qui hébergeait du contenu bénin », ont écrit les chercheurs. "Ensuite, ils ont exploité les routeurs en tant que proxy C2 qui se cachaient à la vue grâce à la communication routeur à routeur pour éviter davantage la détection. Et enfin, ils ont alterné périodiquement les routeurs proxy pour éviter d'être détectés.

Opportunité de pandémie

Les chercheurs ont nommé le troyen après le mot chinois pour « gauche » en raison du nom de fichier utilisé par les acteurs de la menace, « asdf.a ». Le nom "suggère la marche au clavier des touches d'accueil de gauche", ont écrit les chercheurs.

Les acteurs de la menace ont déployé le RAT susceptible de tirer parti des appareils SOHO souvent non corrigés peu de temps après le déclenchement de la pandémie de COVID-19 et de nombreux travailleurs ont reçu l'ordre de travailler à la maison, Qui ouvert une foule de menaces à la sécurité, ont-ils dit.

«Le passage rapide au travail à distance au printemps 2020 a offert une nouvelle opportunité aux acteurs de la menace de renverser les protections traditionnelles de défense en profondeur en ciblant les points les plus faibles du nouveau périmètre du réseau – des appareils qui sont régulièrement achetés par les consommateurs mais rarement surveillés ou corrigés. ", ont écrit les chercheurs. "Les acteurs peuvent tirer parti de l'accès au routeur SOHO pour maintenir une présence à faible détection sur le réseau cible et exploiter les informations sensibles transitant par le LAN."

Attaque en plusieurs étapes

D'après ce que les chercheurs ont observé, ZuoRAT est une affaire en plusieurs étapes, avec la première étape de la fonctionnalité de base conçue pour glaner des informations sur l'appareil et le LAN auquel il est connecté, permettre la capture de paquets du trafic réseau, puis renvoyer les informations à la commande -et-contrôle (C&C).

"Nous évaluons que le but de ce composant était d'acclimater l'acteur de la menace au routeur ciblé et au LAN adjacent pour déterminer s'il faut maintenir l'accès", ont noté les chercheurs.

Cette étape a une fonctionnalité pour s'assurer qu'une seule instance de l'agent était présente et pour effectuer un vidage de mémoire qui pourrait produire des données stockées en mémoire telles que des informations d'identification, des tables de routage et des tables IP, ainsi que d'autres informations, ont-ils déclaré.

ZuoRAT comprend également un deuxième composant composé de commandes auxiliaires envoyées au routeur pour une utilisation au choix de l'acteur en exploitant des modules supplémentaires qui peuvent être téléchargés sur l'appareil infecté.

"Nous avons observé environ 2,500 XNUMX fonctions intégrées, qui comprenaient des modules allant de la pulvérisation de mots de passe à l'énumération USB et à l'injection de code", ont écrit les chercheurs.

Ce composant offre une capacité d'énumération LAN, ce qui permet à l'auteur de la menace d'explorer davantage l'environnement LAN et également d'effectuer des détournements DNS et HTTP, qui peuvent être difficiles à détecter, ont-ils déclaré.

Menace permanente

Black Lotus a analysé des échantillons de VirusTotal et sa propre télémétrie pour conclure qu'environ 80 cibles ont jusqu'à présent été compromises par ZuoRAT.

Les vulnérabilités connues exploitées pour accéder aux routeurs afin de propager le RAT incluent : CVE-2020-26878 et CVE-2020-26879. Plus précisément, les acteurs de la menace ont utilisé un fichier exécutable portable (PE) Windows compilé en Python qui faisait référence à une preuve de concept appelée chahut151021.py pour obtenir des informations d'identification et charger ZuoRAT, ont-ils déclaré.

En raison des capacités et du comportement démontrés par ZuoRAT, il est fort probable que non seulement l'acteur de la menace derrière ZuoRAT cible toujours activement les appareils, mais qu'il "vive sans être détecté à la périphérie des réseaux ciblés depuis des années", ont déclaré les chercheurs.

Cela présente un scénario extrêmement dangereux pour les réseaux d'entreprise et d'autres organisations avec des travailleurs distants se connectant aux appareils concernés, a noté un professionnel de la sécurité.

"Le micrologiciel SOHO n'est généralement pas conçu dans un souci de sécurité, en particulier pré-pandémie firmware où les routeurs SOHO n'étaient pas un gros vecteur d'attaque », a observé Dahvid Schloss, chef d'équipe de sécurité offensive pour une entreprise de cybersécurité Échelon, dans un e-mail à Threatpost.

Une fois qu'un appareil vulnérable est compromis, les acteurs de la menace ont alors libre cours "pour pousser et pousser sur n'importe quel appareil connecté" à la connexion de confiance qu'ils détournent, a-t-il déclaré.

"À partir de là, vous pouvez essayer d'utiliser des proxychains pour lancer des exploits sur le réseau ou simplement surveiller tout le trafic entrant, sortant et autour du réseau", a déclaré Schloss.