Bilinmeyen bir tehdit aktörü yönlendiricileri hedefliyor (yeni sekmede açılır) trafiği ele geçirmek, hassas verileri toplamak ve bağlı cihazları tehlikeye atmak amacıyla uzaktan erişim truva atları (RAT’ler) ile.
Bu, yakın zamanda ZuoRAT adlı yeni bir kötü amaçlı yazılım türünden yararlanan gerçek dünya saldırılarını gözlemleyen Lumen Technologies’in tehdit istihbarat bölümü Black Lotus Lab’e göre.
ZuoRAT, SOHO (küçük ofis/ev ofis) yönlendiricileri için özel olarak geliştirilmiş çok aşamalı bir uzaktan erişim truva atıdır. Araştırmacılar, Kuzey Amerika ve Avrupa’daki işletmeleri hedef alarak, yaklaşık iki yıldır kullanımda olduğunu söylüyor.
Kötü amaçlı yazılım, saldırganlara yönlendiricilere erişim sağlamak için bilinen güvenlik açıklarından yararlanır. İçeri girdikten sonra, hedef cihazlara iki ek, özel olarak oluşturulmuş RAT dağıtabilirler.
Ek RAT’ler, tehdit aktörlerinin dosya yüklemesine ve indirmesine, komutları çalıştırmasına ve iş istasyonunda kalmasına izin verir. Bir tanesi platformlar arası işlevselliğe sahip, eklendi.
Black Lotus Labs ayrıca iki ayrı komuta ve kontrol (C2) sunucusu buldu. Biri, özel iş istasyonu RAT için tasarlanmıştır ve Çinli üçüncü taraf hizmetlerinden yararlanır. İkincisi yönlendiriciler için tasarlandı.
Bu kötü niyetli kampanya, pandemi ile yaklaşık olarak aynı zamanda başladı ve araştırmacılar, ikisinin bağlantılı olduğuna inanıyor. İşletmeler uzaktan çalışmaya geçtiğinde, çalışanlar kurumsal ağlara evden erişmeye başladılar ve bu da risk faktörünü artırdı.
Saldırganlar bunu bir fırsat olarak gördüler ve yönlendiriciler gibi ev tabanlı cihazlardan hain amaçları için yararlanmaya çalıştılar.
Lumen Black Lotus Labs Tehdit İstihbaratı Direktörü Mark Dehus, “Yönlendirici kötü amaçlı yazılım kampanyaları kuruluşlar için ciddi bir tehdit oluşturuyor çünkü yönlendiriciler geleneksel güvenlik çevresinin dışında bulunuyor ve genellikle uzlaşmayı nispeten basit hale getiren zayıf yönleri olabilir” dedi.
“Bu kampanyada, bir tehdit aktörünün SOHO yönlendiricilerinden yararlanma, internet trafiğine gizlice erişme ve tespit edilmesi zor yollarla değiştirme ve güvenliği ihlal edilmiş ağda ek dayanaklar elde etme yeteneğini gözlemledik.”
