Malware ZuoRAT apunta a los enrutadores SOHO en América del Norte y Europa

Un troyano de acceso remoto (RAT) multietapa recientemente descubierto, denominado ZuoRAT, se ha utilizado para atacar a trabajadores remotos a través de enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) en América del Norte y Europa sin ser detectado desde 2020.

En un informe de hoy, los investigadores de seguridad de Black Lotus Labs de Lumen que detectaron el malware dijeron que la complejidad de esta campaña altamente dirigida y las tácticas, técnicas y procedimientos (TTP) de los atacantes son el sello distintivo de un actor de amenazas respaldado por el estado.

El inicio de esta campaña se alinea aproximadamente con un cambio rápido al trabajo remoto después del comienzo de la pandemia de COVID-19 que aumentó drásticamente la cantidad de enrutadores SOHO (incluidos ASUS, Cisco, DrayTek y NETGEAR) utilizados por los empleados para acceder a los activos corporativos. desde casa.

"Esto le dio a los actores de amenazas una nueva oportunidad de aprovechar los dispositivos domésticos, como los enrutadores SOHO, que se usan mucho pero rara vez se monitorean o reparan, para recopilar datos en tránsito, secuestrar conexiones y comprometer dispositivos en redes adyacentes", dice Lumen .

"El cambio repentino al trabajo remoto impulsado por la pandemia permitió que un adversario sofisticado aprovechara esta oportunidad para subvertir la postura tradicional de defensa en profundidad de muchas organizaciones bien establecidas".

Una vez desplegado en un enrutador (sin parchear contra fallas de seguridad conocidas) con la ayuda de un script de explotación de omisión de autenticación, el malware ZuoRAT de múltiples etapas proporcionó a los atacantes capacidades de reconocimiento de red en profundidad y recopilación de tráfico a través de un rastreo de red pasivo.

ZuoRAT también permite moverse lateralmente para comprometer otros dispositivos en la red y desplegar cargas útiles maliciosas adicionales (como las balizas Cobalt Strike) mediante el secuestro de DNS y HTTP.

Dos troyanos personalizados más fueron entregados en dispositivos pirateados durante estos ataques: uno basado en C++ llamado CBeacon dirigido a estaciones de trabajo de Windows y uno basado en Go denominado GoBeacon que probablemente podría infectar sistemas Linux y Mac además de dispositivos Windows.


"Las capacidades demostradas en esta campaña: obtener acceso a dispositivos SOHO de diferentes marcas y modelos, recopilar información de host y LAN para orientar, muestrear y secuestrar comunicaciones de red para obtener acceso potencialmente persistente a dispositivos en tierra y robar intencionalmente la infraestructura C2 aprovechando múltiples Las comunicaciones de enrutador a enrutador en silos apuntan a un actor altamente sofisticado que, según nuestra hipótesis, ha estado viviendo sin ser detectado en el borde de las redes objetivo durante años", agregaron los investigadores .

El malware adicional implementado en los sistemas dentro de las redes de las víctimas (es decir, CBeacon, GoBeacon y Cobalt Strike) proporcionó a los actores de amenazas la capacidad de descargar y cargar archivos, ejecutar comandos arbitrarios, secuestrar tráfico de red, inyectar nuevos procesos y ganar persistencia en dispositivos comprometidos.

Algunos enrutadores comprometidos también se agregaron a una red de bots y se usaron para controlar el tráfico de comando y control (C2) para obstaculizar los esfuerzos de detección de los defensores.

Según la edad de las muestras enviadas por VirusTotal y la telemetría de Black Lotus Labs durante nueve meses, los investigadores estiman que la campaña ha impactado hasta ahora en al menos 80 objetivos.

"Las organizaciones deben vigilar de cerca los dispositivos SOHO y buscar cualquier signo de actividad descrito en esta investigación", dijo Mark Dehus, director de inteligencia de amenazas de Black Lotus Labs.

"Este nivel de sofisticación nos lleva a creer que esta campaña podría no estar limitada a la pequeña cantidad de víctimas observadas. Para ayudar a mitigar la amenaza, deben asegurarse de que la planificación de parches incluya enrutadores y confirmar que estos dispositivos ejecutan el último software disponible".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta