Black Lotus Labs a découvert un nouveau cheval de Troie d’accès à distance (RAT) appelé ZuoRAT, qui cible les travailleurs à distance via leurs appareils pour petits bureaux/bureaux à domicile (SOHO), composé de conceptions d’ASUS, Cisco, DrayTek et NETGEAR .
Résumé des aspects de la campagne
ZuoRAT fait partie d’une campagne complexe qui est passée inaperçue pendant près de 2 ans. Les tactiques, stratégies et procédures (TTP) observées par les experts portent les marques de ce qui est probablement un acteur de menace d’État-nation.
Le projet comprenait ZuoRAT, un RAT multi-étapes développé pour les routeurs SOHO tirant parti des vulnérabilités – qui permettaient à l’auteur de la menace de spécifier le réseau domestique à proximité, de collecter des données en transit et de pirater le trafic Web DNS/HTTP des utilisateurs de la maison. La star a pu passer inaperçue en survivant sur des appareils presque jamais surveillés et en détournant le trafic DNS et HTTP.
La capacité de piratage a permis à l’acteur du risque de passer du routeur aux postes de travail du réseau. où ils ont probablement publié 2 RAT personnalisés supplémentaires – dont l’un a activé la fonctionnalité multiplateforme (c’est-à-dire Windows, Linux et MacOs). Ces RAT supplémentaires ont permis à la star de télécharger/télécharger des fichiers, d’exécuter des commandes et de persister sur le poste de travail.
Black Lotus Labs a également déterminé 2 ensembles uniques d’installations de commande et de contrôle (C2). Le premier a été développé pour le poste de travail personnalisé RAT et fait confiance aux services tiers d’entreprises chinoises. Le deuxième ensemble de C2 a été développé pour les routeurs.
En utilisant la télémétrie propriétaire, les chercheurs ont déterminé qu’une fois infectés, les routeurs interagissaient avec d’autres routeurs compromis pour masquer davantage les activités malveillantes.
» Les campagnes de logiciels malveillants sur les routeurs représentent une menace sérieuse pour les organisations, car les routeurs existent au-delà des limites de sécurité conventionnelles et peuvent souvent avoir des points faibles qui rendent le compromis raisonnablement simple à réaliser », a déclaré Mark Dehus, directeur des renseignements sur les dangers pour Black Lotus Labs. « Dans ce projet, nous avons observé la capacité d’un acteur dangereux à utiliser des routeurs SOHO, à accéder et à modifier discrètement le trafic Internet de manière difficile à repérer et à prendre pied sur le réseau compromis. »
Dehus a poursuivi : « Les organisations doivent surveiller de près les gadgets SOHO et rechercher toute indication d’activité détaillée dans cette recherche. Ce niveau d’élégance nous porte à croire que cette campagne ne se limitera peut-être pas au petit nombre des victimes observées. Pour aider à réduire le danger, ils doivent s’assurer que la préparation du spot se compose de routeurs et valider que ces appareils exécutent l’application logicielle actuelle disponible. »
Pour les IoC liés à cette campagne, rendez-vous sur ce GitHub page.
Toute l’actualité en temps réel, est sur L’Entrepreneur
