2022. október 07.

Mi az a ZuoRAT?

A ZuoRAT egy távoli hozzáférésű trójai program (RAT), amely kisirodai és otthoni routereket támad meg.

2022. június 29-én a Black Lotus Labs, a Lumen Technologies fenyegetésfelderítő ága, felfedte a biztonsági rés létezését. Úgy tűnik, hogy a program a Mirai botnet mögötti kód erősen módosított változata.

A biztonsági kutatók szerint a fenyegetés Észak-Amerikát és Európát célozta, és két évig észrevétlen maradhatott. A támadások 2020 októberében kezdődtek, és az ASUS, Cisco, DrayTek és NETGEAR routerek ismert sebezhetőségeit célozták meg. A támadók ezután eszközöket tudtak azonosítani a hálózaton, és oldalirányú mozgással további rendszerekhez fértek hozzá. Tekintettel az időzítésre, valószínű, hogy a támadók kihasználták a világjárvány okozta gyors átállást az otthoni munkára.

Hogyan fertőződnek meg a felhasználók?

A Black Lotus Labs szerint a ZuoRAT kifejezetten kishálózati és otthoni routerekhez összeállított MIPS-fájl, amely feltérképezi a gazdagépet és a belső LAN-t, rögzíti a fertőzött eszközön továbbított csomagokat, és közbeékelődéses támadásokat hajt végre (ún. „man-in-the-middle” akciók, azaz DNS- és HTTPS-eltérítések előre meghatározott szabályok alapján).

A ZuoRAT által használt támadási vektor

A ZuoRAT támadás az ismert, CVE-2020-26878 és CVE-2020-26879 sebezhetőségek kihasználásával kezdődik egy Python által lefordított Windows Portable Executable fájl segítségével a routerek megcélzására. A kutatók azonban csak a JCG-Q20 típusú routereket kihasználó szkripthez tudtak hozzáférni, ezért lehetséges, hogy vannak további, még nem ismertexploit-ok. A rosszindulatú program számos webszolgáltatást lekérdez, hogy megszerezze a router nyilvános IP-címét. Ha ez nem sikerül, a ZuoRAT törli magát.

Valószínű, hogy a támadó javítatlan sebezhetőségeket használt fel, hogy hitelesítő adatokat lopjon el a megcélzott routerektől. Bár léteznek patchek ezekhez a sérülékenységekhez, a rendszergazdák ezen kishálózati és otthoni eszközökön általában nem hajtják végre a frissítéseket.

Ki áll a támadás mögött?

Noha nem egyedi az a fenyegetéstechnika, amely a kishálózati routereket kompromittálja a helyi hálózathozhoz való hozzáférés érdekében, mégis ritkán számolnak be róla. A kutatók szerint a DNS- és HTTP-eltérítéshez hasonló közbeékelődéses támadásokról szóló jelentések még ritkábbak, valamint összetett és célzott műveletekre utalnak. E két technika egyidejű alkalmazása arra utal, hogy ezt a kampányt valószínűleg egy államilag támogatott kiberbűnözői csoport hajtotta végre.

Következtetés

Bár a rosszindulatú szereplők sokféle módon célozzák meg a hálózatokat, a router alapú kártékony program ritka jelenség, és a támadás éppen ezért évek óta rejtve maradhatott a célzott hálózatok peremén.

Ezért kulcsfontosságú, hogy a felhasználók – és különösen a magánszemélyek és a kisvállalkozások – védjék forgalmukat a belépési ponton: a routereken. A legtöbb otthoni és kisvállalati hálózat túl kicsi ahhoz, hogy a rendszergazdák védekező intézkedéseket, például mikroszegmentációt alkalmazzanak rajtuk.

A fenyegetéssel kapcsolatos kompromittáltsági indikátorok jellemzően IP-címek. Éppen ezért a DNS-alapú biztonsági megoldások nem nyújtanak megfelelő védelmet, hiszen azok nem blokkolják az IP-címeket. A jó hír az, hogy az Allot Secure-t (beleértve a NetworkSecure-t, valamint a router-alapú HomeSecure-t és BusinessSecure-t) használó ügyfelek védettek a támadás ellen. Az Allot megoldásaival kapcsolatban keresse bizalommal a RelNet munkatársait. A RelNet ugyanis az Allot hivatalos disztribútora Magyarországon.

Forrás

What is ZuoRAT?

Kapcsolódó tartalom

Allot képzések a RelNet eLearning programban

Bejelentkezés

Mi az a ZuoRAT?

Új ipari kivitelű switchek az Extreme Networkstől

Skybox Security kompetenciaépítés a RelNetben

Új ipari kivitelű switchek az Extreme Networkstől

Skybox Security kompetenciaépítés a RelNetben

Mi az a ZuoRAT?

Hogyan fertőződnek meg a felhasználók?

Ki áll a támadás mögött?

Következtetés

Forrás

Kapcsolódó tartalom

Kapcsolódó hírek