Yakın zamanda keşfedilen ZuoRAT adlı bir Truva atı, yönlendiricilerinde genellikle yeterince korunmayan kusurlardan yararlanarak evden çalışan profesyonelleri hedef alıyor. Lumen’in Black Lotus Labs siber güvenlik firmasındaki ekiplere göre ZuoRAT, neredeyse iki yıldır Avrupa ve Kuzey Amerika’daki profesyonelleri, yani sağlık krizinin başlamasını hedefleyen, oldukça hedefli ve karmaşık bir kampanyanın parçası.
Bu kötü amaçlı yazılımı Ekim 2020’nin başında ilk kez fark eden Lumen, “Analistlerin gözlemlediği taktikler, teknikler ve prosedürler çok karmaşık ve muhtemelen bir ulus devlet tehdidi aktörünün ayırt edici özelliklerini taşıyor” dedi. tele-çalışmanın artmasıyla birlikte, tehdit aktörleri, geleneksel ağ sınırları dışında bulundukları için kurumsal ağ yöneticileri tarafından nadiren izlenen veya düzeltilen ev yönlendiricilerini özel olarak hedefleme fırsatını yakaladılar.
Şirket, kötü amaçlı yazılımın yeteneklerinin, bunun çok karmaşık bir aktörün işi olduğunu gösterdiğine inanıyor. Bu yetenekler şunları içerir: “farklı marka ve modellerdeki SOHO cihazlarına erişim, hedeflemeyi bilgilendirmek için ana bilgisayar ve yerel ağ bilgilerini toplama, ülke içindeki cihazlara potansiyel olarak kalıcı erişim elde etmek için ağ iletişimlerini örnekleme ve ele geçirme ve yönlendiriciler arasındaki iletişimden yararlanan kasıtlı olarak gizli bir C2 altyapısı. çok katmanlı silolar.”
Birçok kurban zaten sayıldı
Lumen, bu kötü amaçlı yazılımın arkasındaki aktörün daha geniş yeteneklerini yalnızca dar bir şekilde okuyabildiğini kabul ediyor, ancak araştırmacıları, izlediği öğelerin daha büyük bir kampanyanın parçası olduğuna “yüksek güvenle” inanıyor. Şirket, ZuoRAT tabanlı kampanyanın halihazırda en az 80 kurban talep ettiğini tahmin ediyor, ancak daha fazlasının etkilenmiş olması muhtemel.
Black Lotus Labs, ASUS, Cisco, DrayTek ve Netgear dahil olmak üzere çok sayıda SOHO yönlendirici üreticisinden gelen enfeksiyonları gösteren telemetriyi gözlemledi. Araştırmacıların şimdiye kadar topladıkları kampanya öğeleri arasında ev yönlendiricilerine yönelik ZuoRAT saldırıları, Windows için C++ ile derlenmiş bir yükleyici ve cihaz numaralandırma, dosya indirme ve yüklemeyi sağlayan üç aracı yer alıyor. , ağ iletişimlerinin ele geçirilmesi (DNS/HTTP) ve işlem enjeksiyonu.
Üç ajan şunlardır:
- CBeacon – Dosyaları indirme, rastgele komutlar yürütme ve bir bileşen-nesne modeli (COM) ele geçirme yöntemi aracılığıyla virüslü makinede kalıcı olma yeteneğine sahip, C++ ile yazılmış özel olarak geliştirilmiş bir RAT.
- GoBeacon – Go’da yazılmış özel olarak geliştirilmiş bir RAT. Bu Truva Atı, CBeacon ile hemen hemen aynı işlevselliğe sahipti, ancak aynı zamanda Linux ve MacOS cihazlarında çapraz derlemeye izin verdi.
- Cobalt Strike – Bazı durumlarda, CBeacon veya GoBeacon yerine bu hazır uzaktan erişim çerçevesi kullanıldı.
Lumen Black Lotus Labs’e yönelik tehditler istihbarat direktörü Mark Dehus, “Yönlendiricileri hedef alan kötü amaçlı kampanyalar işletmeler için ciddi bir tehdit oluşturuyor çünkü yönlendiriciler geleneksel güvenlik çevresinin dışında kalıyor ve genellikle onları tehlikeye atmayı nispeten kolay hale getiren zayıf yönleri var” dedi.
“Kuruluşlar cihazları uzaktan yakından izlemeli ve bu çalışmada açıklanan herhangi bir faaliyet belirtisi aramalı. Bu karmaşıklık düzeyi, bu kampanyanın az sayıda gözlenen kurbanla sınırlı kalmayabileceğine inanmamıza neden oluyor. Tehdidi azaltmak için, yama planlamasının yönlendiricileri içerdiğini ve bu cihazların mevcut en son yazılımı çalıştırdığını doğrulayın.”
Kaynak : ZDNet.com
