2020年XNUMX月から活動している新しいマルチステージリモートアクセストロイの木馬（RAT）は、既知の脆弱性を悪用して、Cisco Systems、Netgear、Asusなどの人気のあるSOHOルーターを標的にしています。

LumenTechnologiesの脅威インテリジェンス部門であるBlackLotusLabsの研究者によると、このマルウェアはZuoRATと呼ばれ、ローカルLANにアクセスし、デバイスで送信されているパケットをキャプチャし、DNSおよびHTTPSハイジャックを介して中間者攻撃を仕掛けることができます。

SOHOデバイスからLANにホップするだけでなく、さらに攻撃を仕掛ける能力は、RATが国が後援するアクターの仕事である可能性があることを示唆しています。 ブログ投稿 水曜日に公開されました。「これらのXNUMXつの手法の使用は、脅威アクターによる高度な高度化を一致して示しており、このキャンペーンが国が後援する組織によって実行された可能性があることを示しています」と研究者は投稿に書いています。

脅威アクターが攻撃でコマンドアンドコントロール（C＆C）との通信を隠すために使用する回避のレベルは、「誇張することはできません」。また、ZuoRATが専門家の仕事であることを示しています。

「まず、疑惑を避けるために、彼らは良性のコンテンツをホストする専用の仮想プライベートサーバー（VPS）から最初のエクスプロイトを引き渡しました」と研究者は書いています。 「次に、ルーターをプロキシC2として活用し、ルーター間の通信を通じて一目で隠れて、検出をさらに回避しました。 そして最後に、検出を回避するためにプロキシルーターを定期的にローテーションしました。」

パンデミックの機会

研究者は トロイの 脅威アクターが使用するファイル名「asdf.a」のため、中国語で「左」を意味します。 その名前は「左側のホームキーのキーボードウォーキングを示唆している」と研究者たちは書いている。

脅威アクターは、COVID-19のパンデミックが発生し、多くの労働者が 自宅で仕事をする、その 開放 多くのセキュリティ上の脅威があると彼らは言った。

「2020年春のリモートワークへの急速な移行は、脅威アクターが新しいネットワーク境界の最も弱い点をターゲットにすることで、従来の多層防御を破壊する新たな機会をもたらしました。これは、消費者が日常的に購入するが、監視やパッチが適用されることはめったにないデバイスです。 」と研究者は書いた。 「アクターは、SOHOルーターアクセスを利用して、ターゲットネットワーク上での低検出プレゼンスを維持し、LANを通過する機密情報を悪用することができます。」

マルチステージ攻撃

研究者が観察したところによると、ZuoRATは多段階の問題であり、デバイスと接続先のLANに関する情報を収集し、ネットワークトラフィックのパケットキャプチャを有効にして、その情報をコマンドに送り返すように設計されたコア機能の第XNUMX段階を備えています。 -and-control（C＆C）。

「このコンポーネントの目的は、攻撃者を標的のルーターと隣接するLANに順応させて、アクセスを維持するかどうかを判断することであると評価しています」と研究者は述べています。

このステージには、エージェントのインスタンスがXNUMXつだけ存在することを確認し、資格情報、ルーティングテーブル、IPテーブル、その他の情報など、メモリに保存されたデータを生成できるコアダンプを実行する機能があります。

ZuoRATには、アクターとして使用するためにルーターに送信される補助コマンドで構成されるXNUMX番目のコンポーネントも含まれているため、感染したデバイスにダウンロードできる追加のモジュールを利用して選択します。

「パスワードスプレーからUSB列挙、コードインジェクションに至るまでのモジュールを含む、約2,500の組み込み機能を観察しました」と研究者は書いています。

このコンポーネントは、LAN列挙機能の機能を提供します。これにより、脅威アクターはLAN環境をさらに調査し、検出が困難なDNSおよびHTTPハイジャックを実行できます。

進行中の脅威

Black Lotusは、VirusTotalと独自のテレメトリからのサンプルを分析して、これまでに約80のターゲットがZuoRATによって侵害されたと結論付けました。

RATを拡散するためにルーターにアクセスするために悪用される既知の脆弱性は次のとおりです。 CVE-2020-26878 & CVE-2020-26879。 具体的には、攻撃者は、PythonでコンパイルされたWindowsポータブル実行可能ファイル（PE）ファイルを使用しました。このファイルは、次の概念実証を参照しています。 ruckus151021.py クレデンシャルを取得してZuoRATをロードするために、彼らは言いました。

ZuoRATによって実証された機能と動作により、ZuoRATの背後にいる脅威アクターが依然として積極的にデバイスを標的にしているだけでなく、「標的となるネットワークの端で何年も検出されずに生きている」可能性が高いと研究者は述べています。

これは、影響を受けるデバイスにリモートワーカーが接続している企業ネットワークやその他の組織にとって非常に危険なシナリオであると、あるセキュリティ専門家は述べています。

「SOHOファームウェアは通常、特にセキュリティを念頭に置いて構築されていません。 パンデミック前 SOHOルーターが大きな攻撃ベクトルではなかったファームウェア」とサイバーセキュリティ会社の攻撃的なセキュリティチームリーダーであるDahvidSchloss氏は述べています。 エシュロン, Threatpostへのメールで。

脆弱なデバイスが危険にさらされると、脅威の攻撃者は、ハイジャックした信頼できる接続に「接続されているデバイスを突いてプロデュースする」ことができます。

「そこから、プロキシチェーンを使用してエクスプロイトをネットワークに投入したり、ネットワークに出入りするすべてのトラフィックを監視したりすることができます」とSchloss氏は述べています。