Alışılmadık derecede gelişmiş bilgisayar korsanlığı grubu, neredeyse iki yılını çok çeşitli virüslere bulaştırmak için harcadı. yönlendiriciler ile Kuzey Amerika ve Avrupa’da kötü amaçlı yazılım 28 Haziran’da araştırmacıların bildirdiğine göre, Windows, macOS ve Linux çalıştıran bağlı cihazların tam kontrolünü ele alıyor.
Şimdiye kadar, Lumen Technologies’in Black Lotus Labs’inden araştırmacılar, Cisco, Netgear, Asus ve DrayTek tarafından yapılan yönlendiriciler de dahil olmak üzere, gizli kötü amaçlı yazılımdan etkilenen en az 80 hedef belirlediklerini söylüyorlar. ZuoRAT olarak adlandırılan uzaktan erişim Truva Atı, 2020’nin en az dördüncü çeyreğinden beri var olan ve çalışmaya devam eden daha geniş bir bilgisayar korsanlığı kampanyasının parçası.
Yüksek Düzeyde Gelişmişlik
MIPS mimarisi için yazılmış ve küçük ofis ve ev-ofis yönlendiricileri için derlenmiş özel olarak oluşturulmuş kötü amaçlı yazılımların keşfi, özellikle çeşitli yetenekleri göz önüne alındığında önemlidir. Virüs bulaşmış bir yönlendiriciye bağlı tüm cihazları numaralandırma ve gönderdikleri ve aldıkları DNS aramalarını ve ağ trafiğini toplama ve algılanmadan kalma yeteneği, son derece karmaşık bir tehdit aktörünün ayırt edici özelliğidir.
Black Lotus Labs araştırmacıları, “SOHO yönlendiricilerinden, bitişik bir LAN’a erişim elde etmek için bir erişim vektörü olarak ödün vermek yeni bir teknik olmasa da, nadiren rapor edilmiştir.” yazdı. “Benzer şekilde, DNS ve HTTP ele geçirme gibi ortadaki kişi tarzı saldırıların raporları daha da nadirdir ve karmaşık ve hedefli bir operasyonun işaretidir. Bu iki tekniğin kullanımı uyumlu bir şekilde yüksek düzeyde bir karmaşıklık göstermiştir. Tehdit aktörü, bu kampanyanın muhtemelen devlet destekli bir kuruluş tarafından gerçekleştirildiğini belirtiyor.”
Kampanya, üçü tehdit aktörü tarafından sıfırdan yazılan en az dört kötü amaçlı yazılımdan oluşuyor. İlk parça, MIPS tabanlı ZuoRAT’tır. Mirai nesnelerin interneti kötü amaçlı yazılımı elde edilen rekor kıran dağıtılmış hizmet reddi saldırıları o bazı İnternet hizmetlerini devre dışı bıraktı günlerce. ZuoRAT, genellikle SOHO cihazlarındaki yama uygulanmamış güvenlik açıklarından yararlanarak kurulur.
Yüklendikten sonra ZuoRAT, virüslü yönlendiriciye bağlı cihazları sıralar. Tehdit aktörü daha sonra kullanabilir DNS kaçırma ve bağlı cihazların diğer kötü amaçlı yazılımları yüklemesine neden olmak için HTTP ele geçirme. CBeacon ve GoBeacon olarak adlandırılan bu kötü amaçlı yazılım parçalarından ikisi, ilki Windows için C++’da, ikincisi Linux ve macOS aygıtlarında çapraz derleme için Go’da yazılmış olmak üzere özel yapımdır. Esneklik için ZuoRAT, yaygın olarak kullanılan Cobalt Strike hack aracıyla bağlı cihazlara da bulaşabilir.
ZuoRAT, iki yöntemden birini kullanarak enfeksiyonları bağlı cihazlara yönlendirebilir:
- Google veya Facebook gibi bir etki alanına karşılık gelen geçerli IP adreslerini saldırgan tarafından işletilen kötü niyetli bir adresle değiştiren DNS ele geçirme.
- Kullanıcıyı farklı bir IP adresine yönlendiren bir 302 hatası oluşturmak için kötü amaçlı yazılımın kendisini bağlantıya eklediği HTTP ele geçirme.
kasıtlı olarak karmaşık
Black Lotus Labs, kampanyada kullanılan komuta ve kontrol altyapısının, olanları gizlemek amacıyla kasıtlı olarak karmaşık olduğunu söyledi. Bir altyapı seti, virüslü yönlendiricileri kontrol etmek için kullanılır ve bir diğeri, daha sonra virüs bulaşırsa bağlı cihazlar için ayrılır.
Araştırmacılar, hedeflerin ilgi çekici olup olmadığını belirlemek için bir ilk anket gerçekleştirdiğini düşündükleri bir kontrol sunucusuna kalıcı bir bağlantısı olan 23 IP adresinden yönlendiricileri gözlemlediler. Bu 23 yönlendiricinin bir alt kümesi daha sonra üç ay boyunca Tayvan merkezli bir proxy sunucusuyla etkileşime girdi. Yönlendiricilerin başka bir alt kümesi, saldırganın altyapısını şaşırtmak için Kanada merkezli bir proxy sunucusuna döndürüldü.