Un troyano de acceso remoto nunca antes visto denominado ZuoRAT<\/b> ha estado seleccionando enrutadores para oficinas peque\u00f1as\/oficinas dom\u00e9sticas (SOHO) como parte de una campa\u00f1a sofisticada dirigida a las redes de Am\u00e9rica del Norte y Europa.<\/p>\n
El malware “otorga al actor la capacidad de pivotar en la red local y obtener acceso a sistemas adicionales en la LAN al secuestrar las comunicaciones de la red para mantener un punto de apoyo no detectado”, dijeron investigadores de Lumen Black Lotus Labs en un informe compartido con The Hacker News.<\/p>\n
Se cree que la operaci\u00f3n sigilosa, que apunt\u00f3 a los enrutadores de ASUS, Cisco, DrayTek y NETGEAR, comenz\u00f3 a principios de 2020 durante los meses iniciales de la pandemia de COVID-19, permaneciendo efectivamente bajo el radar durante m\u00e1s de dos a\u00f1os.<\/p>\n
“Los consumidores y los empleados remotos usan rutinariamente enrutadores SOHO, pero estos dispositivos rara vez son monitoreados o parcheados, lo que los convierte en uno de los puntos m\u00e1s d\u00e9biles del per\u00edmetro de una red”, dijo el equipo de inteligencia de amenazas de la compa\u00f1\u00eda.<\/p>\n
El acceso inicial a los enrutadores se obtiene escaneando en busca de fallas conocidas sin parches para cargar la herramienta de acceso remoto, us\u00e1ndola para obtener acceso a la red y soltar un cargador de shellcode de pr\u00f3xima etapa que se usa para entregar Cobalt Strike y puertas traseras personalizadas como CBeacon y GoBeacon que son capaces de ejecutar comandos arbitrarios.<\/p>\n
Adem\u00e1s de permitir el reconocimiento en profundidad de las redes de destino, la recopilaci\u00f3n de tr\u00e1fico y el secuestro de comunicaciones de red, el malware se ha descrito como una versi\u00f3n muy modificada de la red de bots Mirai, cuyo c\u00f3digo fuente se filtr\u00f3 en octubre de 2016.<\/p>\n
![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656434518_437_Malware-ZuoRAT-secuestrando-enrutadores-de-oficinas-domesticas-para-espiar-redes.jpg\" "\\"Software")
<\/div>\n“ZuoRAT es un archivo MIPS compilado para enrutadores SOHO que puede enumerar un host y una LAN interna, capturar paquetes que se transmiten a trav\u00e9s del dispositivo infectado y realizar ataques de persona en el medio (secuestro de DNS y HTTPS basado en reglas predefinidas)”. dijeron los investigadores.<\/p>\n
Tambi\u00e9n se incluye una funci\u00f3n para recopilar conexiones TCP a trav\u00e9s de los puertos 21 y 8443, que est\u00e1n asociados con FTP y navegaci\u00f3n web, lo que podr\u00eda permitir al adversario controlar la actividad de Internet de los usuarios detr\u00e1s del enrutador comprometido.<\/p>\n
Otras capacidades de ZuoRAT permiten a los atacantes monitorear el tr\u00e1fico DNS y HTTPS con el objetivo de secuestrar las solicitudes y redirigir a las v\u00edctimas a dominios maliciosos utilizando reglas preestablecidas que se generan y almacenan en directorios temporales en un intento de resistir el an\u00e1lisis forense.<\/p>\n
![\"Hackeo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656434518_408_Malware-ZuoRAT-secuestrando-enrutadores-de-oficinas-domesticas-para-espiar-redes.jpg\" "\\"Hackeo")
<\/div>\nEse no es el \u00fanico paso que toman los piratas inform\u00e1ticos para ocultar sus actividades, ya que los ataques se basan en una infraestructura C2 ofuscada de varias etapas que implica utilizar un servidor privado virtual para eliminar el exploit RAT inicial y aprovechar los enrutadores comprometidos como servidores proxy C2. .<\/p>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\nPara evitar a\u00fan m\u00e1s la detecci\u00f3n, se detect\u00f3 que el servidor de ensayo aloja contenido aparentemente inocuo, en un caso imitando un sitio web llamado “muhsinlar.net”, un portal de propaganda<\/a> establecido para el Partido Isl\u00e1mico de Turkest\u00e1n (PROPINA<\/a>), un grupo extremista uigur originario de China. <\/p>\n Se desconoce la identidad del colectivo adversario detr\u00e1s de la campa\u00f1a, aunque un an\u00e1lisis de los artefactos ha revelado posibles referencias a la provincia china de Xiancheng y el uso de Yuque y Tencent de Alibaba para comando y control (C2).<\/p>\n La naturaleza elaborada y evasiva de la operaci\u00f3n junto con las t\u00e1cticas utilizadas en los ataques para permanecer encubierto apuntan hacia una posible actividad del estado-naci\u00f3n, se\u00f1al\u00f3 Black Lotus Labs.<\/p>\n “Las capacidades demostradas en esta campa\u00f1a: obtener acceso a dispositivos SOHO de diferentes marcas y modelos, recopilar informaci\u00f3n de host y LAN para informar la orientaci\u00f3n, el muestreo y el secuestro de comunicaciones de red para obtener un acceso potencialmente persistente a dispositivos en tierra y robar intencionalmente la infraestructura C2 aprovechando m\u00faltiples etapas las comunicaciones de enrutador a enrutador en silos apuntan a un actor altamente sofisticado”, concluyeron los investigadores.<\/p>\n <\/p>\n<\/div>\n