Um inusitadamente avançado O grupo de hackers passou quase dois anos infectando uma ampla gama de roteadores na América do Norte e na Europa com malware que suppose o controle general de dispositivos conectados executando Home windows, macOS e Linux, relataram pesquisadores em 28 de junho.
Até agora, pesquisadores do Black Lotus Labs da Lumen Applied sciences dizem ter identificado pelo menos 80 alvos infectados pelo malware furtivo, incluindo roteadores feitos pela Cisco, Netgear, Asus e DrayTek. Apelidado de ZuoRAT, o Trojan de acesso remoto faz parte de uma campanha de hackers mais ampla que existe desde pelo menos o 4to trimestre de 2020 e continua em operação.
Alto nível de sofisticação
A descoberta de malware personalizado escrito para a arquitetura MIPS e compilado para roteadores de pequenos escritórios e escritórios domésticos é significativa, principalmente devido à sua variedade de recursos. Sua capacidade de enumerar todos os dispositivos conectados a um roteador infectado e coletar as pesquisas de DNS e o tráfego de rede que eles enviam e recebem e permanecem indetectáveis é a marca registrada de um agente de ameaças altamente sofisticado.
“Embora comprometer os roteadores SOHO como um vetor de acesso para obter acesso a uma LAN adjacente não seja uma técnica nova, raramente tem sido relatada”, escreveram os pesquisadores do Black Lotus Labs. “Da mesma forma, relatos de ataques do tipo pessoa no meio, como seqüestro de DNS e HTTP, são ainda mais raros e marcam uma operação complexa e direcionada. O uso dessas duas técnicas demonstrou congruentemente um alto nível de sofisticação por um ator de ameaça, indicando que esta campanha foi possivelmente realizada por uma organização patrocinada pelo Estado.”
A campanha inclui pelo menos quatro malwares, três deles escritos do 0 pelo agente da ameaça. A primeira peça é o ZuoRAT, baseado em MIPS, que se assemelha ao malware Mirai de web das coisas, que atingiu recordes de ataques distribuídos de negação de serviço que paralisaram alguns serviços de Web por dias. O ZuoRAT geralmente é instalado explorando vulnerabilidades não corrigidas em dispositivos SOHO.
Uma vez instalado, o ZuoRAT enumera os dispositivos conectados ao roteador infectado. O agente da ameaça pode usar o seqüestro de DNS e o seqüestro de HTTP para fazer com que os dispositivos conectados instalem outro malware. Duas dessas peças de malware – apelidadas de CBeacon e GoBeacon – são feitas sob medida, com a primeira escrita para Home windows em C++ e a última escrita em Move para compilação cruzada em dispositivos Linux e macOS. Para flexibilidade, o ZuoRAT também pode infectar dispositivos conectados com a ferramenta de hacking Cobalt Strike amplamente utilizada.
ZuoRAT pode direcionar infecções para dispositivos conectados usando um dos dois métodos:
- Sequestro de DNS, que substitui os endereços IP válidos correspondentes a um domínio como Google ou Fb por um mal-intencionado operado pelo invasor.
- Sequestro de HTTP, no qual o malware se insere na conexão para gerar um erro 302 que redireciona o usuário para um endereço IP diferente.
Intencionalmente Complexo
A Black Lotus Labs disse que a infraestrutura de comando e controle usada na campanha é intencionalmente complexa na tentativa de esconder o que está acontecendo. Um conjunto de infraestrutura é usado para controlar roteadores infectados e outro é reservado para os dispositivos conectados se forem infectados posteriormente.
Os pesquisadores observaram roteadores de 23 endereços IP com uma conexão persistente com um servidor de controle que eles acreditam estar realizando uma pesquisa inicial para determinar se os alvos eram de interesse. Um subconjunto desses 23 roteadores interagiu posteriormente com um servidor proxy baseado em Taiwan por três meses. Um outro subconjunto de roteadores mudou para um servidor proxy baseado no Canadá para ofuscar a infraestrutura do invasor.
.
Fonte da Notícia: www.stressed.com
