0
0
O Black Lotus Labs descobriu um novo trojan de acesso remoto (RAT) chamado ZuoRAT, que tem como alvo trabalhadores remotos por meio de seus pequenos dispositivos de escritório/home office (SOHO), incluindo modelos da ASUS, Cisco, DrayTek e NETGEAR.
Visão geral dos elementos da campanha
ZuoRAT faz parte de uma campanha complexa que não foi detectada por quase dois anos. As táticas, técnicas e procedimentos (TTPs) que os analistas observaram têm as marcas do que é provavelmente um ator de ameaça do estado-nação.
A campanha incluiu o ZuoRAT – um RAT de vários estágios desenvolvido para roteadores SOHO aproveitando vulnerabilidades conhecidas – que permitiu que o ator da ameaça enumerasse a rede doméstica adjacente, coletasse dados em trânsito e sequestrasse o tráfego de internet DNS/HTTP dos usuários domésticos. O ator conseguiu permanecer sem ser detectado vivendo em dispositivos raramente monitorados e sequestrando o tráfego DNS e HTTP.
A capacidade de sequestro permitiu que o ator de ameaças girasse do roteador para estações de trabalho na rede, onde provavelmente implantaram dois RATs personalizados adicionais – um dos quais permitia a funcionalidade multiplataforma (i.e. Windows, Linux e MacOs). Esses RATs adicionais permitiram que o ator carregasse/baixasse arquivos, executasse comandos e persperisse na estação de trabalho.
O Black Lotus Labs também identificou dois conjuntos distintos de infraestrutura de comando e controle (C2). O primeiro foi desenvolvido para a estação de trabalho personalizada RAT e contou com serviços de terceiros de empresas chinesas. O segundo conjunto de C2s foi desenvolvido para os roteadores.
Usando telemetria proprietária, os pesquisadores identificaram que, uma vez infectados, os roteadores se comunicavam com outros roteadores comprometidos para ofuscar ainda mais a atividade maliciosa.
“As campanhas de malware de roteador representam uma grave ameaça para as organizações porque os roteadores existem fora do perímetro de segurança convencional e muitas vezes podem ter fraquezas que tornam o compromisso relativamente simples de alcançar”, disse Mark Dehus, diretor de inteligência contra ameaças da Black Lotus Labs. “Nesta campanha, observamos a capacidade de um ator de ameaça de explorar roteadores SOHO, acessar secretamente e modificar o tráfego da Internet de maneiras difíceis de detectar e ganhar apoios adicionais na rede comprometida.”
Dehus continuou: “As organizações devem ficar de olho nos dispositivos SOHO e procurar quaisquer sinais de atividade descritos nesta pesquisa. Esse nível de sofisticação nos leva a acreditar que esta campanha pode não se limitar ao pequeno número de vítimas observadas. Para ajudar a mitigar a ameaça, eles devem garantir que o planejamento de patches inclua roteadores e confirmar que esses dispositivos estão executando o software mais recente disponível.”
Para IoCs associados a esta campanha, visite esta página do GitHub.
FONTE: HELPNET SECURITY