Новый многоступенчатый троян удаленного доступа (RAT), активный с апреля 2020 года, использует известные уязвимости для атаки на популярные маршрутизаторы SOHO от Cisco Systems, Netgear, Asus и других.

Вредоносное ПО, получившее название ZuoRAT, может получать доступ к локальной сети, перехватывать пакеты, передаваемые на устройстве, и организовывать атаки «человек посередине» посредством перехвата DNS и HTTPS, по словам исследователей из Black Lotus Labs, подразделения по анализу угроз Lumen Technologies.

Возможность не только подключиться к локальной сети с устройства SOHO, а затем организовать дальнейшие атаки предполагает, что RAT может быть работой спонсируемого государством субъекта, отметили они в блог опубликовано в среду.«Использование этих двух методов последовательно продемонстрировало высокий уровень сложности злоумышленника, что указывает на то, что эта кампания, возможно, была проведена спонсируемой государством организацией», — написали исследователи в своем посте.

По их словам, уровень уклонения, который злоумышленники используют для сокрытия связи с командно-административным управлением (C&C) в атаках, «нельзя переоценить», а также указывает на то, что ZuoRAT является работой профессионалов.

Во-первых, чтобы избежать подозрений, они передали первоначальный эксплойт с выделенного виртуального частного сервера (VPS), на котором размещался безопасный контент», — пишут исследователи. «Затем они использовали маршрутизаторы в качестве прокси-серверов C2, которые прятались на виду благодаря связи между маршрутизаторами, чтобы еще больше избежать обнаружения. И, наконец, они периодически меняли прокси-маршрутизаторы, чтобы избежать обнаружения».

Возможность пандемии

Исследователи назвали троянец после китайского слова «слева» из-за имени файла, используемого злоумышленниками, «asdf.a». Исследователи написали, что название «предполагает перемещение по клавиатуре левой домашней клавиши».

Злоумышленники развернули RAT, вероятно, чтобы использовать в своих интересах часто неисправленные устройства SOHO, вскоре после того, как разразилась пандемия COVID-19, и многим работникам было приказано работать из дома, который открылись множество угроз безопасности, сказали они.

«Быстрый переход к удаленной работе весной 2020 года предоставил злоумышленникам новую возможность подорвать традиционную многоуровневую защиту, нацелившись на самые слабые места нового периметра сети — устройства, которые обычно покупаются потребителями, но редко отслеживаются или исправляются. ", - пишут исследователи. «Актеры могут использовать доступ к маршрутизатору SOHO для поддержания присутствия в целевой сети с низким уровнем обнаружения и использования конфиденциальной информации, проходящей через локальную сеть».

Многоэтапная атака

Судя по тому, что наблюдали исследователи, ZuoRAT представляет собой многоступенчатую операцию, при этом первый этап основной функциональности предназначен для сбора информации об устройстве и локальной сети, к которой оно подключено, включения захвата пакетов сетевого трафика, а затем отправки информации обратно в команду. -и-управление (C&C).

«По нашим оценкам, цель этого компонента заключалась в том, чтобы акклиматизировать злоумышленника к целевому маршрутизатору и соседней локальной сети, чтобы определить, следует ли поддерживать доступ», — отметили исследователи.

По их словам, на этом этапе есть функциональные возможности для обеспечения присутствия только одного экземпляра агента и выполнения дампа памяти, который может предоставить данные, хранящиеся в памяти, такие как учетные данные, таблицы маршрутизации и таблицы IP, а также другую информацию.

ZuoRAT также включает в себя второй компонент, состоящий из вспомогательных команд, отправляемых маршрутизатору для использования по выбору субъекта путем использования дополнительных модулей, которые можно загрузить на зараженное устройство.

«Мы наблюдали примерно 2,500 встроенных функций, которые включали модули, начиная от распыления пароля и заканчивая перечислением USB и внедрением кода», — пишут исследователи.

По их словам, этот компонент обеспечивает возможность перечисления LAN, что позволяет субъекту угрозы дополнительно исследовать среду LAN, а также выполнять перехват DNS и HTTP, который может быть трудно обнаружить.

Постоянная угроза

Black Lotus проанализировала образцы из VirusTotal и свою собственную телеметрию и пришла к выводу, что на данный момент около 80 целей были скомпрометированы ZuoRAT.

Известные уязвимости, используемые для доступа к маршрутизаторам для распространения RAT, включают: CVE-2020-26878 и CVE-2020-26879. В частности, злоумышленники использовали скомпилированный на Python переносимый исполняемый файл (PE) для Windows, который ссылался на доказательство концепции под названием шум151021.py чтобы получить учетные данные и загрузить ZuoRAT, сказали они.

Из-за возможностей и поведения, продемонстрированных ZuoRAT, весьма вероятно, что злоумышленник, стоящий за ZuoRAT, не только все еще активно нацелен на устройства, но и «живет незамеченным на границе целевых сетей в течение многих лет», — говорят исследователи.

Это представляет собой чрезвычайно опасный сценарий для корпоративных сетей и других организаций, где удаленные сотрудники подключаются к уязвимым устройствам, отметил один специалист по безопасности.

«Прошивка SOHO обычно не создается с учетом требований безопасности, особенно предпандемический прошивка, где маршрутизаторы SOHO не были большим вектором атаки», — заметил Дахвид Шлосс, руководитель группы наступательной безопасности в фирме по кибербезопасности. Эшелон, в электронном письме Threatpost.

По его словам, как только уязвимое устройство скомпрометировано, злоумышленники получают полную свободу действий, «чтобы тыкать и тыкать в любое устройство, подключенное к доверенному соединению, которое они захватывают».

«Оттуда вы можете попытаться использовать прокси-чейны для запуска эксплойтов в сеть или просто отслеживать весь входящий, исходящий и исходящий трафик в сети», — сказал Шлосс.