Các thiết bị của Cisco, Netgear và các thiết bị khác có nguy cơ nhiễm phần mềm độc hại nhiều giai đoạn, đã hoạt động từ tháng 2020 năm XNUMX và cho thấy hoạt động của một tác nhân đe dọa tinh vi.
Một trojan truy cập từ xa (RAT) đa tầng mới hoạt động kể từ tháng 2020 năm XNUMX đang khai thác các lỗ hổng đã biết để nhắm mục tiêu các bộ định tuyến SOHO phổ biến của Cisco Systems, Netgear, Asus và những người khác.
Phần mềm độc hại, được đặt tên là ZuoRAT, có thể truy cập vào mạng LAN cục bộ, nắm bắt các gói được truyền trên thiết bị và thực hiện các cuộc tấn công trung gian thông qua DNS và HTTPS, theo các nhà nghiên cứu từ chi nhánh tình báo mối đe dọa của Lumen Technologies, Black Lotus Labs.
Khả năng không chỉ nhảy vào một mạng LAN từ một thiết bị SOHO và sau đó tấn công các giai đoạn khác cho thấy RAT có thể là công việc của một tác nhân được nhà nước tài trợ, họ lưu ý trong một bài đăng blog xuất bản thứ tư.
Các nhà nghiên cứu viết trong bài đăng: “Việc sử dụng hai kỹ thuật này đồng thời cho thấy mức độ tinh vi cao của tác nhân đe dọa, cho thấy rằng chiến dịch này có thể được thực hiện bởi một tổ chức được nhà nước tài trợ”.
Mức độ né tránh mà các kẻ đe dọa sử dụng để che đậy việc giao tiếp với lệnh và kiểm soát (C&C) trong các cuộc tấn công “không thể nói quá” và cũng chỉ ra rằng ZuoRAT là công việc của các chuyên gia, họ nói.
"Đầu tiên, để tránh bị nghi ngờ, họ đã khai thác ban đầu từ một máy chủ riêng ảo chuyên dụng (VPS) lưu trữ nội dung lành tính, ”các nhà nghiên cứu viết. “Tiếp theo, họ tận dụng các bộ định tuyến làm proxy C2 ẩn trong tầm nhìn rõ ràng thông qua giao tiếp giữa bộ định tuyến với bộ định tuyến để tránh bị phát hiện thêm. Và cuối cùng, họ đã luân chuyển các bộ định tuyến proxy theo định kỳ để tránh bị phát hiện ”.
Cơ hội Đại dịch
Các nhà nghiên cứu đặt tên cho trojan sau từ tiếng Trung có nghĩa là "trái" vì tên tệp được các tác nhân đe dọa sử dụng, "asdf.a." Các nhà nghiên cứu đã viết cái tên “gợi ý cách bàn phím di chuyển của các phím home bên tay trái”.
Các tác nhân đe dọa đã triển khai RAT có khả năng tận dụng các thiết bị SOHO thường chưa được vá ngay sau khi đại dịch COVID-19 bùng phát và nhiều công nhân đã được lệnh làm ở nhà, Mà Mở ra họ cho biết một loạt các mối đe dọa an ninh.
“Sự chuyển đổi nhanh chóng sang làm việc từ xa vào mùa xuân năm 2020 đã mang đến cơ hội mới cho các tác nhân đe dọa lật đổ các biện pháp bảo vệ chuyên sâu về phòng thủ truyền thống bằng cách nhắm vào những điểm yếu nhất của chu vi mạng mới - các thiết bị được người tiêu dùng mua thường xuyên nhưng hiếm khi được giám sát hoặc vá lỗi , ”Các nhà nghiên cứu viết. “Các tác nhân có thể tận dụng quyền truy cập của bộ định tuyến SOHO để duy trì sự hiện diện phát hiện thấp trên mạng mục tiêu và khai thác thông tin nhạy cảm truyền qua mạng LAN.”
Tấn công nhiều giai đoạn
Từ những gì các nhà nghiên cứu quan sát được, ZuoRAT là một công việc gồm nhiều giai đoạn, với giai đoạn đầu tiên của chức năng cốt lõi được thiết kế để thu thập thông tin về thiết bị và mạng LAN mà nó được kết nối, cho phép bắt gói lưu lượng mạng và sau đó gửi thông tin trở lại lệnh. -và kiểm soát (C&C).
Các nhà nghiên cứu lưu ý: “Chúng tôi đánh giá mục đích của thành phần này là để điều chỉnh tác nhân đe dọa đến bộ định tuyến được nhắm mục tiêu và mạng LAN lân cận để xác định xem có duy trì quyền truy cập hay không”.
Giai đoạn này có chức năng đảm bảo chỉ một phiên bản của tác nhân duy nhất hiện diện và thực hiện kết xuất lõi có thể mang lại dữ liệu được lưu trữ trong bộ nhớ như thông tin xác thực, bảng định tuyến và bảng IP, cũng như các thông tin khác, họ nói.
ZuoRAT cũng bao gồm một thành phần thứ hai bao gồm các lệnh phụ được gửi đến bộ định tuyến để sử dụng làm tác nhân để lựa chọn bằng cách tận dụng các mô-đun bổ sung có thể được tải xuống thiết bị bị nhiễm.
Các nhà nghiên cứu viết: “Chúng tôi đã quan sát được khoảng 2,500 chức năng nhúng, bao gồm các mô-đun từ phun mật khẩu đến liệt kê USB và chèn mã.
Thành phần này cung cấp khả năng cho khả năng liệt kê mạng LAN, cho phép tác nhân đe dọa mở rộng phạm vi hơn nữa trong môi trường mạng LAN và cũng thực hiện xâm nhập DNS và HTTP, vốn có thể khó phát hiện, họ nói.
Mối đe dọa đang diễn ra
Black Lotus đã phân tích các mẫu từ VirusTotal và máy đo từ xa của chính nó để kết luận rằng khoảng 80 mục tiêu cho đến nay đã bị ZuoRAT xâm phạm.
Các lỗ hổng đã biết được khai thác để truy cập vào các bộ định tuyến nhằm phát tán RAT bao gồm: CVE-2020-26878 và CVE-2020-26879. Cụ thể, các tác nhân đe dọa đã sử dụng tệp thực thi di động Windows (PE) được biên dịch bằng Python tham chiếu đến một bằng chứng về khái niệm được gọi là ruckus151021.py họ cho biết để đạt được thông tin đăng nhập và tải ZuoRAT.
Các nhà nghiên cứu cho biết, do các khả năng và hành vi được chứng minh bởi ZuoRAT, rất có thể kẻ đe dọa đằng sau ZuoRAT vẫn đang tích cực nhắm mục tiêu vào các thiết bị, mà còn “sống không bị phát hiện bên cạnh các mạng mục tiêu”.
Điều này đưa ra một kịch bản cực kỳ nguy hiểm cho các mạng công ty và các tổ chức khác có nhân viên từ xa kết nối với các thiết bị bị ảnh hưởng, một chuyên gia bảo mật lưu ý.
“Phần mềm SOHO thường không được xây dựng với tính bảo mật, đặc biệt là tiền đại dịch Dahvid Schloss, trưởng nhóm bảo mật tấn công của công ty an ninh mạng, nhận xét phần sụn trong đó bộ định tuyến SOHO không phải là một vectơ tấn công lớn. Dàn quân, trong một email tới Threatpost.
Khi một thiết bị dễ bị tấn công bị xâm phạm, các tác nhân đe dọa sẽ có quyền tự do "chọc và thúc vào bất kỳ thiết bị nào được kết nối" với kết nối đáng tin cậy mà chúng chiếm đoạt được, ông nói.
Schloss nói: “Từ đó, bạn có thể cố gắng sử dụng các proxy để khai thác mạng hoặc chỉ theo dõi tất cả lưu lượng truy cập vào, ra và xung quanh mạng.
