Een nieuwe meertraps trojan voor externe toegang (RAT) die actief is sinds april 2020, maakt misbruik van bekende kwetsbaarheden om populaire SOHO-routers van Cisco Systems, Netgear, Asus en anderen aan te vallen.

De malware, genaamd ZuoRAT, kan toegang krijgen tot het lokale LAN, pakketten vastleggen die op het apparaat worden verzonden en man-in-the-middle-aanvallen uitvoeren via DNS- en HTTPS-kaping, volgens onderzoekers van Black Lotus Labs, de dreigingsinlichtingenafdeling van Lumen Technologies.

De mogelijkheid om niet alleen op een LAN te springen vanaf een SOHO-apparaat en vervolgens verdere aanvallen te organiseren, suggereert dat de RAT mogelijk het werk is van een door de staat gesponsorde actor, merkten ze op in een blog post woensdag gepubliceerd."Het gebruik van deze twee technieken demonstreerde congruent een hoog niveau van verfijning door een bedreigingsactor, wat aangeeft dat deze campagne mogelijk werd uitgevoerd door een door de staat gesponsorde organisatie", schreven onderzoekers in de post.

Het niveau van ontduiking dat dreigingsactoren gebruiken om communicatie met command-and-control (C&C) bij de aanvallen te verdoezelen "kan niet worden overschat" en wijst er ook op dat ZuoRAT het werk is van professionals, zeiden ze.

"Ten eerste, om verdenking te voorkomen, gaven ze de eerste exploit door van een speciale virtual private server (VPS) die goedaardige inhoud hostte”, schreven onderzoekers. “Vervolgens gebruikten ze routers als proxy-C2's die in het zicht verborgen waren door router-naar-router-communicatie om detectie verder te voorkomen. En tot slot hebben ze de proxyrouters periodiek geroteerd om detectie te voorkomen.”

Pandemische kans

Onderzoekers noemden de Trojaans na het Chinese woord voor "links" vanwege de bestandsnaam die door de dreigingsactoren wordt gebruikt, "asdf.a." De naam "suggereert dat het toetsenbord van de linker home-toetsen loopt", schreven onderzoekers.

Bedreigingsactoren hebben de RAT ingezet om waarschijnlijk te profiteren van vaak niet-gepatchte SOHO-apparaten kort nadat de COVID-19-pandemie uitbrak en veel werknemers de opdracht kregen om van thuis uit te werken, welke opende een groot aantal veiligheidsbedreigingen, zeiden ze.

“De snelle verschuiving naar werken op afstand in het voorjaar van 2020 bood bedreigingsactoren een nieuwe kans om traditionele, diepgaande bescherming te ondermijnen door zich te richten op de zwakste punten van de nieuwe netwerkperimeter – apparaten die routinematig door consumenten worden gekocht maar zelden worden gecontroleerd of gepatcht ', schreven onderzoekers. "Acteurs kunnen gebruik maken van SOHO-routertoegang om een ​​lage detectie-aanwezigheid op het doelnetwerk te behouden en gevoelige informatie te misbruiken die via het LAN wordt verzonden."

Aanval in meerdere fasen

Uit wat onderzoekers hebben waargenomen, is ZuoRAT een zaak met meerdere fasen, waarbij de eerste fase van de kernfunctionaliteit is ontworpen om informatie te verzamelen over het apparaat en het LAN waarmee het is verbonden, pakketregistratie van netwerkverkeer mogelijk te maken en de informatie vervolgens terug te sturen naar de opdracht -en-controle (C&C).

"We beoordelen dat het doel van dit onderdeel was om de dreigingsactor te laten acclimatiseren aan de beoogde router en het aangrenzende LAN om te bepalen of de toegang behouden moet blijven", merkten onderzoekers op.

Deze fase heeft functionaliteit om ervoor te zorgen dat slechts één exemplaar van de agent aanwezig was en om een ​​kerndump uit te voeren die gegevens zou kunnen opleveren die in het geheugen zijn opgeslagen, zoals referenties, routeringstabellen en IP-tabellen, evenals andere informatie, zeiden ze.

ZuoRAT bevat ook een tweede component die bestaat uit hulpopdrachten die naar de router worden gestuurd voor gebruik naar keuze van de acteur door gebruik te maken van extra modules die op het geïnfecteerde apparaat kunnen worden gedownload.

"We hebben ongeveer 2,500 ingebouwde functies waargenomen, waaronder modules variërend van wachtwoordspray tot USB-opsomming en code-injectie", schreven onderzoekers.

Deze component biedt de mogelijkheid voor LAN-opsommingsmogelijkheden, waardoor de dreigingsactor de LAN-omgeving verder kan verkennen en ook DNS- en HTTP-kaping kan uitvoeren, wat moeilijk te detecteren kan zijn, zeiden ze.

Lopende dreiging

Black Lotus analyseerde monsters van VirusTotal en zijn eigen telemetrie om te concluderen dat tot nu toe ongeveer 80 doelen zijn aangetast door ZuoRAT.

Bekende kwetsbaarheden die worden misbruikt om toegang te krijgen tot routers om de RAT te verspreiden, zijn onder meer: CVE-2020-26878 en CVE-2020-26879. In het bijzonder gebruikten bedreigingsactoren een door Python gecompileerd Windows portable executable (PE) bestand dat verwees naar een proof of concept genaamd ruckus151021.py om inloggegevens te verkrijgen en ZuoRAT te laden, zeiden ze.

Vanwege de mogelijkheden en het gedrag van ZuoRAT is het zeer waarschijnlijk dat niet alleen de dreigingsactor achter ZuoRAT zich nog steeds actief op apparaten richt, maar al jaren "onopgemerkt aan de rand van gerichte netwerken leeft", aldus onderzoekers.

Dit vormt een extreem gevaarlijk scenario voor bedrijfsnetwerken en andere organisaties met externe werknemers die verbinding maken met getroffen apparaten, merkte een beveiligingsprofessional op.

"SOHO-firmware is meestal niet gebouwd met het oog op beveiliging, vooral niet pre-pandemie firmware waar SOHO-routers geen grote aanvalsvector waren,” merkte Dahvid Schloss op, offensief beveiligingsteamleider voor cyberbeveiligingsbedrijf Echelon, in een e-mail aan Threatpost.

Zodra een kwetsbaar apparaat is gecompromitteerd, hebben dreigingsactoren vrij spel "om te porren en te prikken op welk apparaat dan ook is aangesloten" met de vertrouwde verbinding die ze kapen, zei hij.

"Van daaruit zou je kunnen proberen om proxychains te gebruiken om exploits in het netwerk te gooien of gewoon al het verkeer in, uit en rond het netwerk te controleren", zei Schloss.