Desde abril de 2020, um Trojan de acesso remoto multiestágio (RAT) está ativo e tem explorado falhas conhecidas para direcionar dispositivos SOHO (Small Office/Home Office) da Cisco Systems, Netgear, Asus e outras marcas.
O vírus, que foi denominado de ZuoRAT, tem a capacidade de aceder à rede local, capturar dados que estão a ser enviados ao dispositivo e executar ataques do tipo “hombre en el medio” (man-in-the-middle) pelo DNS e HTTPS, segundo os especialistas da unidade de inteligência de ameaças da Lumen Technologies Black Lotus Labs.
Os especialistas observaram que, após a penetração inicial de uma LAN por um dispositivo SOHO, os ataques de palco suplementares parecem ser o trabalho de um ator patrocinado pelo Estado. O post de quarta-feira fez referência a isso: “A utilização dessas duas técnicas sugere um alto nível de sofisticação por parte de um ator de ameaça e, portanto, indica que esta campanha possivelmente foi realizada por uma organização patrocinada pelo Estado”, disseram os pesquisadores.
O uso intenso de evasão pelos atores de ameaça para mascarar seu contato com os servidores de comando e controle (C&C) nos ataques não pode ser exagerado, e isso também indica que o ZuoRAT é o resultado do trabalho de especialistas, segundo especialistas.
A fim de evitar suspeitas, os pesquisadores inicialmente usaram um servidor privado virtual dedicado (VPS) para hospedar conteúdo inocente. Depois eles se serviram de roteadores como servidores proxy C2 para esconder a comunicação entre roteadores, o que dificultou ainda mais a detecção. Por fim, eles rotacionaram os roteadores proxy para impedir que fossem descobertos.
A pandemia trouxe consigo oportunidades únicas.
Os estudiosos denominaram o trojan com a expressão chinesa para “esquerda” devido ao nome do arquivo usado pelos criadores da ameaça que era “asdf.a”, o que sugere o movimento de um teclado a partir das teclas de casa da esquerda, segundo descreveram os pesquisadores.
Os atores de ameaça instalaram provavelmente um RAT (Remote Access Trojan) para aproveitar os dispositivos SOHO (Small Office/Home Office) muitas vezes não padronizados após a pandemia COVID-19 ter acabado e muitos trabalhadores terem sido obrigados a trabalhar a partir de suas casas, o que criou uma série de riscos à segurança, afirmaram eles.
A rápida transição para o trabalho remoto durante a primavera de 2020 ofereceu uma oportunidade para os atores mal-intencionados contornarem as proteções tradicionais de segurança, direcionando-se para as fragilidades do novo perímetro de rede, como dispositivos frequentemente comprados pelos consumidores, mas raramente monitorados ou corrigidos, apontaram os pesquisadores. Por meio do acesso aos roteadores SOHO, eles podem manter uma presença de baixa detecção na rede de destino e explorar dados confidenciais que transitam pela LAN.
Uma invasão em vários estágios.
Pesquisadores detectaram que ZuoRAT é composto por vários estágios com a função principal programada para reunir informações sobre o dispositivo e a rede para a qual está conectado, bem como para capturar o tráfego de rede e enviar a informação para o servidor de comando e controle.
Os pesquisadores notaram que o propósito desta parte era familiarizar o ator de ameaça com o roteador direcionado e a rede local próxima para determinar se ele ainda teria acesso.
Esta etapa foi projetada para certificar que apenas uma instância do agente esteja ativa, e para executar um download autorizado que possa recuperar dados armazenados na memória, como por exemplo, credenciais, tabelas de roteamento e tabelas IP, bem como outras informações, afirmaram eles.
ZooRAT contém um segundo componente formado por comandos auxiliares enviados para o roteador para uso como o invasor desejar, aproveitando módulos extras que podem ser transferidos para o equipamento infectado.
Examinamos cerca de 2500 capacidades integradas, que incluíam a capacidade de senha pulverizar, enumeração USB e injeção de código, relataram os investigadores.
Este item proporciona a possibilidade de rastrear uma rede local (LAN), permitindo que o agressor possa avaliar e atacar o meio ambiente da LAN e também se apropriar do DNS e HTTP, o que pode ser difícil de ser identificado, afirmaram.
Atualmente, há um risco iminente no horizonte.
A empresa Black Lotus examinou dados do VirusTotal e seus próprios registros de telemetria para chegar à conclusão de que cerca de 80 alvos foram afetados pelo Zuorat.
As vulnerabilidades exploradas nos roteadores de acesso para distribuir o RAT são as seguintes: CVE-2020-26878 e CVE-2020-26879. Os invasores usaram um arquivo executável para Windows compilado em Python, que foi baseado na prova de conceito chamada ruckus151021.py, para obter acesso às credenciais e instalar o ZuoRAT, de acordo com as informações fornecidas.
Devido às habilidades e conduta exibidas pela Zuorat, é altamente provável que o agente responsável pelas ameaças da Zuorat não apenas esteja segmentando dispositivos de forma contínua, mas também possa ter estado “escondido nas fronteiras das redes segmentadas por anos”, afirmaram os investigadores.
Esse quadro apresenta um alto risco para redes corporativas e outras entidades que possuam funcionários trabalhando de forma remota e conectando-se a equipamentos vulneráveis, reforçou um especialista em segurança.
Schloss observou que o firmware do SOHO costuma não ser elaborado com segurança em consideração, principalmente naquele pré-pandemia, quando os roteadores SOHO não eram um dos principais alvos de ataques. Ele informou isso em uma mensagem para a Threatpost.
Assim que um aparelho for vulnerado, os inimigos poderão facilitar acesso a qualquer outro dispositivo conectado através da ligação de confiança que eles tomaram como refém, disse ele.
Schloss sugeriu que a partir daí se tentasse usar Proxychains para desenvolver ataques na rede, ou para controlar todo o tráfego que entra, sai e circula na rede.
Mande este artigo para outras pessoas.
- Malware é um programa perverso que pode ser aplicado para apropriar-se de dados confidenciais.
- Vulnerabilidades de segurança são brechas de segurança que podem ser exploradas por invasores para prejudicar o sistema.
