Nuevo y peligroso malware está atacando enrutadores en diferentes países
Investigadores de seguridad descubrieron recientemente un nuevo troyano de acceso remoto (RAT) multietapa, denominado ZuoRAT. ZuoRAT está apuntando a trabajadores remotos desde 2020 a través de enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) en América del Norte y Europa sin ser detectado.
En un informe reciente, los investigadores de seguridad de Black Lotus Labs de Lumen que detectaron el malware dijeron que la complejidad de esta campaña es altamente dirigida. Asimismo, las tácticas, técnicas y procedimientos (TTP) de los atacantes son el sello distintivo de un actor de amenazas respaldado por un estado.
El inicio de esta campaña se alinea aproximadamente con un cambio rápido al trabajo remoto después del comienzo de la pandemia de COVID-19. La pandemia aumentó drásticamente la cantidad de enrutadores SOHO (incluidos ASUS, Cisco, DrayTek y NETGEAR) utilizados por los empleados para acceder a los activos corporativos desde casa.
“Esto le dio a los atacantes una nueva oportunidad de aprovechar los dispositivos domésticos, como los enrutadores SOHO, que se usan mucho. No obstante, rara vez se monitorean o reparan. Es decir, son perfectos para recopilar datos en tránsito, secuestrar conexiones y comprometer dispositivos en redes adyacentes”
“El cambio repentino al trabajo remoto impulsado por la pandemia permitió que un adversario sofisticado aprovechara esta oportunidad para subvertir la postura tradicional de defensa en profundidad de muchas organizaciones bien establecidas”.
Lumen
Ataque
Una vez desplegado en un enrutador (sin parchear contra vulnerabilidades de seguridad conocidas) con la ayuda de un script de explotación de omisión de autenticación, el malware ZuoRAT de múltiples etapas actúa maliciosamente. Este proporciona a los atacantes capacidades de reconocimiento de red en profundidad y recopilación de tráfico a través de un rastreo de red pasivo.
ZuoRAT también permite moverse lateralmente para comprometer otros dispositivos en la red y desplegar payloads maliciosos adicionales mediante el secuestro de DNS y HTTP.
Dos troyanos personalizados más fueron enviados a dispositivos hackeados durante estos ataques. El primero, desarrollado en C++ y llamado CBeacon está dirigido a estaciones de trabajo de Windows. El segundo, desarrollado en Go y denominado GoBeacon, probablemente podría infectar sistemas Linux y Mac además de dispositivos Windows.
“Las capacidades demostradas en esta campaña – obtener acceso a dispositivos SOHO de diferentes marcas y modelos, recopilar información de host y LAN para orientar, muestrear y secuestrar comunicaciones de la red para obtener un acceso potencialmente persistente a los dispositivos internos y la infraestructura C2 sigilosa intencionalmente aprovechando las comunicaciones de enrutador a enrutador en silos de múltiples etapas – apunta a un actor altamente sofisticado que, según nuestra hipótesis, ha estado viviendo sin ser detectado en el borde de las redes objetivo durante años”.
Malware adicional
El malware adicional implementado en los sistemas dentro de las redes de las víctimas proporciona a los atacantes muchas funcionalidades. Por ejemplo, la capacidad de descargar y cargar archivos, ejecutar comandos arbitrarios, secuestrar tráfico de red, inyectar nuevos procesos y ganar persistencia en dispositivos comprometidos.
Es importante mencionar que algunos enrutadores comprometidos también fueron agregados a una botnet. Asimismo, se usaron para controlar el tráfico del servidor de comando y control (C2) para obstaculizar los esfuerzos de detección de los defensores.
Según la fecha de las muestras enviadas a VirusTotal y la telemetría de Black Lotus Labs durante nueve meses, los investigadores estiman que la campaña ha impactado hasta ahora en al menos 80 objetivos.
Las organizaciones deben vigilar de cerca los dispositivos SOHO y buscar cualquier signo de actividad descrito en la investigación.
Este nivel de sofisticación nos lleva a creer que esta campaña podría no estar limitada a la pequeña cantidad de víctimas observadas. Para ayudar a mitigar la amenaza, las empresas deben actuar. Por ejemplo, deben asegurarse de que la planificación de parches incluya enrutadores y confirmar que estos dispositivos ejecutan el último software disponible.