Roteadores SOHO usados ​​como ponto inicial de comprometimento na campanha de ataque furtivo

A Black Lotus Labs, uma equipe de inteligência de ameaças da Lumen Technologies, expôs recentemente um novo modus operandi para uma campanha de ataque que não foi descoberta por quase dois anos. Esta campanha é altamente sofisticada e possivelmente patrocinada pelo Estado. Uma de suas características mais intrigantes é que ele tem como alvo roteadores de pequenos escritórios/escritórios domésticos (SOHO) como um ponto inicial de comprometimento, além de ser particularmente furtivo.

A cadeia de ataque ZuoRAT

No início desta campanha de ataque, um arquivo MIPS compilado para roteadores SOHO é enviado aos roteadores explorando vulnerabilidades conhecidas. Este arquivo é um malware apelidado de ZuoRAT pelos pesquisadores, projetado para coletar informações sobre os dispositivos e o LANit pode ar após infectar um computador.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Após a infecção, o malware enumera os hosts e a LAN interna. Ele tem a capacidade de capturar pacotes de rede sendo transmitidos pelo dispositivo infectado e executar um ataque man-in-the-middle, como seqüestro de DNS e HTTP com base em um conjunto de regras predefinido. Embora essas regras não possam ser recuperadas, o laboratório supõe que essa operação de sequestro é o vetor de o para a implantação de carregadores de shellcode subsequentes em máquinas dentro da rede local.

Após a execução, o malware também tenta descobrir o endereço IP público do roteador consultando vários serviços online que fornecem essas informações. Se ninguém responder, o malware se exclui.

ZuoRAT parece ser uma versão fortemente modificada do malware Mirai, que tem como alvo vários dispositivos IoT em todo o mundo há vários anos.

Vários roteadores SOHO também foram usados ​​como nós proxy C2, tornando as investigações mais difíceis.

O próximo o é dinamizar do roteador para as estações de trabalho da rede, implantando um carregador do Windows que é usado para baixar e executar um dos três possíveis trojans diferentes: CBeacon, GoBeacon ou CobaltStrike (Figura A).

Figura A

Carregador do Windows

O carregador do Windows usado pelo agente da ameaça é escrito em C++. Curiosamente, ele tenta se disfarçar como um aplicativo Tencent legítimo, incluindo um certificado Tencent real, embora inválido.

O carregador alcança um servidor C2 e baixa e executa a próxima etapa, que é executar CBeacon, GoBeacon ou Cobalt Strike.

CBeacon

CBeacon é um RAT personalizado desenvolvido em C++ que pode fazer e de arquivos, executar shellcode, executar comandos arbitrários e persistir na máquina infectada. Ele também pode obter informações sobre o computador em que é executado, como nome do computador, nome de usuário e informações do sistema operacional, que são enviadas a um servidor C2 controlado pelo agente da ameaça.

GoBeacon

GoBeacon é outro RAT desenvolvido sob medida, desta vez escrito na linguagem de programação Go. Ele tem as mesmas funcionalidades do CBeacon, mas é capaz de rodar em Linux e MacOS por meio de compilação cruzada, embora nenhuma versão tenha sido descoberta para esses sistemas operacionais no momento da redação.

CobaltStrike

O Cobalt Strike é uma estrutura conhecida de o e ataque remoto que geralmente é usada por testadores de penetração e invasores. Uma amostra de abril de 2022 foi descoberta se comunicando com um endereço IP codificado pertencente à Tencent Cloud na China. Esta amostra revelou conteúdo de string PDB semelhante às amostras previamente analisadas do ZuoRAT.

Dispositivos e alvos infectados do ZuoRAT

A análise de telemetria dos pesquisadores indica infecções de vários fabricantes SOHO, incluindo ASUS, Cisco, DrayTek e Netgear. No entanto, apenas o script de exploração que afeta o modelo do roteador JCQ-Q20 foi encontrado no momento do lançamento da pesquisa. Nesse caso, os invasores usaram uma exploração conhecida de 2020, que lhes permitiu ar o roteador obtendo credenciais e, em seguida, carregar o ZuoRAT com sucesso.

É muito provável que este método tenha sido usado em todos os roteadores: Injeção de linha de comando para obter uma autenticação válida ou um desvio de autenticação, baixando e executando o ZuoRAT no dispositivo.

De acordo com a telemetria, ZuoRAT e atividades de campanha correlacionadas normalmente têm como alvo organizações americanas e da Europa Ocidental. Durante um período de nove meses, pelo menos 80 alvos foram impactados, mas os pesquisadores suspeitam que provavelmente há muitos mais.

Quão qualificados são os atores de ameaças ZuoRAT?

A campanha é executada de forma muito profissional. O nível de sofisticação desse tipo de ataque faz os pesquisadores acreditarem que essa campanha possivelmente foi realizada por uma organização patrocinada pelo Estado.

Um grande esforço foi feito para não ser detectado. A infraestrutura de ataque estava particularmente altamente protegida: as explorações iniciais vieram de um servidor virtual privado que hospedava conteúdo benigno, enquanto vários roteadores comprometidos foram usados ​​como proxies para alcançar o servidor C2. Esses roteadores proxy alternavam periodicamente para evitar a detecção.

O agente da ameaça usou caracteres e palavras chinesas várias vezes, inclusive em strings de depuração do PDB, e fez uso de serviços chineses como Yuque, uma base de conhecimento baseada em nuvem de propriedade do Alibaba, para armazenar um shellcode.

No entanto, o agente da ameaça também carregou conteúdo em árabe em um dos endereços IP que usou. Como esse conteúdo não está associado a nenhuma outra parte da campanha, os pesquisadores suspeitam que possa ser um ardil para evitar suspeitas.

Embora o objetivo final do invasor permaneça desconhecido, os métodos usados ​​são consistentes com a ciberespionagem e não com o crime financeiro.

Como se proteger dessa ameaça

Reinicie regularmente os roteadores e mantenha seu firmware e software corrigidos para evitar que sejam comprometidos por vulnerabilidades comuns.

Implante a autenticação multifator para cada serviço ou o da empresa que está de frente para a Internet. Dessa forma, mesmo com credenciais comprometidas, um invasor não conseguirá fazer , pois perderá outro canal de autenticação.

Soluções de detecção devidamente configuradas e atualizadas que funcionam em hosts e na rede também devem ser implantadas para detectar tais ameaças.