2020년 XNUMX월부터 활성화된 새로운 다단계 원격 액세스 트로이 목마(RAT)가 알려진 취약점을 악용하여 Cisco Systems, Netgear, Asus 등의 인기 있는 SOHO 라우터를 대상으로 합니다.

Lumen Technologies의 위협 인텔리전스 부서인 Black Lotus Labs의 연구원에 따르면 ZuoRAT라는 악성 코드는 로컬 LAN에 액세스하고 장치에서 전송되는 패킷을 캡처하고 DNS 및 HTTPS 하이재킹을 통해 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있다고 합니다.

그들은 SOHO 장치에서 LAN으로 호핑한 다음 추가 공격을 수행할 수 있는 능력은 RAT가 국가 후원 행위자의 작업일 수 있음을 시사한다고 언급했습니다. 블로그 게시물 수요일에 게시되었습니다.연구원들은 게시물에서 "이 두 기술의 사용은 위협 행위자가 높은 수준의 정교함을 동시에 보여줌으로써 이 캠페인이 국가 후원 조직에서 수행되었을 가능성이 있음을 나타냅니다"라고 썼습니다.

위협 행위자가 공격에서 명령 및 제어(C&C) 통신을 은폐하기 위해 사용하는 회피 수준은 "과장할 수 없다"며 ZuoRAT가 전문가의 작업임을 지적합니다.

"첫째, 의심을 피하기 위해 무해한 콘텐츠를 호스팅하는 전용 가상 사설 서버(VPS)에서 초기 익스플로잇을 전달했습니다.”라고 연구원은 썼습니다. “다음으로, 그들은 라우터 간 통신을 통해 눈에 잘 띄지 않게 숨어 있는 프록시 C2로 라우터를 활용하여 탐지를 더욱 피했습니다. 그리고 마지막으로 탐지를 피하기 위해 주기적으로 프록시 라우터를 교체했습니다.”

전염병 기회

이름을 지은 연구원들은 트로이의 위협 행위자가 사용하는 파일 이름인 "asdf.a" 때문에 "왼쪽"에 해당하는 중국어 단어를 따온 것입니다. 연구원들은 그 이름이 "왼손 홈 키의 키보드 워킹을 암시한다"고 썼습니다.

위협 행위자는 COVID-19 전염병이 발생한 직후 패치되지 않은 SOHO 장치를 이용할 가능성이 있는 RAT를 배포했으며 많은 작업자에게 다음과 같은 명령을 받았습니다. 집에서 일하다, 그 열어 놨다. 그들은 보안 위협의 호스트라고 말했다.

"2020년 봄에 원격 작업으로의 급격한 전환은 위협 행위자가 새로운 네트워크 경계의 가장 취약한 지점, 즉 소비자가 일상적으로 구매하지만 거의 모니터링하거나 패치를 적용하지 않는 장치를 목표로 하여 기존의 심층 방어 보호를 무너뜨릴 수 있는 새로운 기회를 제공했습니다. "라고 연구자들은 썼다. "행위자는 SOHO 라우터 액세스를 활용하여 대상 네트워크에서 낮은 탐지 존재를 유지하고 LAN을 통과하는 민감한 정보를 이용할 수 있습니다."

다단계 공격

연구원이 관찰한 바에 따르면 ZuoRAT는 장치 및 연결된 LAN에 대한 정보를 수집하고 네트워크 트래픽의 패킷 캡처를 활성화한 다음 정보를 다시 명령에 보내도록 설계된 핵심 기능의 첫 번째 단계를 포함하는 다단계 문제입니다. -및-통제(C&C).

연구원들은 "이 구성 요소의 목적은 위협 행위자가 대상 라우터와 인접 LAN에 적응하여 액세스를 유지할지 여부를 결정하는 것이라고 평가합니다."라고 말했습니다.

이 단계에는 에이전트의 단일 인스턴스만 존재하도록 하고 자격 증명, 라우팅 테이블 및 IP 테이블과 같은 메모리에 저장된 데이터와 기타 정보를 생성할 수 있는 코어 덤프를 수행하는 기능이 있습니다.

ZuoRAT에는 또한 액터로 사용하기 위해 라우터에 전송된 보조 명령으로 구성된 두 번째 구성 요소가 포함되어 있으므로 감염된 장치에 다운로드할 수 있는 추가 모듈을 활용하여 선택합니다.

연구원들은 "암호 스프레이에서 USB 열거 및 코드 삽입에 이르는 모듈을 포함하여 약 2,500개의 임베디드 기능을 관찰했습니다."라고 썼습니다.

이 구성 요소는 LAN 열거 기능을 제공하여 위협 행위자가 LAN 환경의 범위를 더욱 확장하고 탐지하기 어려울 수 있는 DNS 및 HTTP 하이재킹을 수행할 수 있도록 합니다.

지속적인 위협

Black Lotus는 VirusTotal과 자체 원격 측정의 샘플을 분석하여 지금까지 약 80개의 대상이 ZuoRAT에 의해 손상되었다는 결론을 내렸습니다.

RAT를 전파하기 위해 라우터에 액세스하는 데 악용되는 알려진 취약점은 다음과 같습니다. CVE-2020-26878 과 CVE-2020-26879. 특히, 위협 행위자는 Python으로 컴파일된 Windows PE(휴대 가능 실행 파일) ruckus151021.py 그들은 자격 증명을 얻고 ZuoRAT를 로드하기 위해 말했다.

ZuoRAT이 시연한 기능과 행동으로 인해 ZuoRAT의 배후에 있는 위협 행위자는 여전히 적극적으로 장치를 표적으로 삼고 있을 뿐만 아니라 "수년 동안 표적 네트워크의 경계에서 탐지되지 않고 살아왔다"고 연구원들은 말했습니다.

한 보안 전문가는 이는 원격 작업자가 영향을 받는 장치에 연결하는 기업 네트워크 및 기타 조직에 매우 위험한 시나리오를 제시한다고 말했습니다.

“SOHO 펌웨어는 일반적으로 보안을 염두에 두고 구축되지 않습니다. 전염병 전 SOHO 라우터가 큰 공격 벡터가 아닌 펌웨어”라고 사이버 보안 회사의 공격 보안 팀 책임자인 Dahvid Schloss가 말했습니다. 제대, Threatpost에 대한 이메일에서.

취약한 장치가 손상되면 위협 행위자는 자신이 가로채는 신뢰할 수 있는 연결에 대해 "연결된 모든 장치를 찌르고 자극"할 수 있다고 말했습니다.

Schloss는 "여기서 프록시체인을 사용하여 네트워크에 익스플로잇을 던지거나 네트워크로 들어오고 나가는 모든 트래픽을 모니터링하려고 시도할 수 있습니다."라고 말했습니다.