Исследователи из Lumen's Black Lotus Labs отследили целенаправленную кампанию, в которой использовался многоступенчатый троян удаленного доступа, получивший название ZuoRAT, старгетированный на удаленных работников через маршрутизаторы малого офиса/домашнего офиса (SOHO) в Северной Америке и Европе, начиная с 2020 года, поразив как минимум 80 целей.
В своей отчете исследователи отмечают, что сложность этой кампании и ТТР злоумышленников являются отличительной чертой поддерживаемого государством субъекта угрозы.
Начало этой кампании примерно совпадает с быстрым переходом на удаленную работу после пандемии COVID-19, с начала которая резко возросло количество маршрутизаторов SOHO (включая ASUS, Cisco, DrayTek и NETGEAR), используемых сотрудниками для доступа к корпоративным сетям из дома.
При том, что они, как правило, редко контролируются или исправляются. Но широко используются для сбора данных при передаче, угона соединений и компрометации устройств в соседних сетях, как отмечают отмечают исследователи.
После развертывания на маршрутизаторе с помощью сценария обхода аутентификации, многоступенчатое вредоносное ПО ZuoRAT предоставляет злоумышленникам углубленные возможности разведки сети и сбор трафика.
ZuoRAT также реализует боковое перемещение для компрометации других устройств и разворачивания дополнительных полезных нагрузок (например, Cobalt Strike) с помощью угона DNS и HTTP.
Кроме того, в рамках кампании доставлялись еще два пользовательских трояна: один на базе C++ под названием CBeacon, нацеленный на рабочие станции Windows, и другой на основе Go, получивший название GoBeacon, который ориентирован на системы Linux и Mac, помимо устройств Windows.
Дополнительное вредоносное ПО, развернутое в системах в сетях жертв (CBeacon, GoBeacon и Cobalt Strike), позволило актору загружать файлы, выполнять произвольные команды, захватывать сетевой трафик, внедрять новые процессы и получать устойчивость на скомпрометированных устройствах.
Некоторые скомпрометированные маршрутизаторы также были добавлены в ботнет и использовались в качестве прокси и управления трафиком (C2), скрывая обнаружение.
По мнению ресерчеров, уровень сложности кампании, а также продемонстрированные возможности, включая получение доступа к устройствам SOHO разных марок и моделей, сбор информации о хостах и локальной сети, перехват сетевых коммуникаций для получения потенциально постоянного доступа к наземным устройствам и намеренно скрытой инфраструктуры C2, использующей многоступенчатый изолированный маршрутизатор для связи, - указывает на работу профи, который, остаётся незамеченным в периметре целевых сетей в течение многих лет. А сама кампания не ограничивается небольшим количеством обнаруженных жертв.
В своей отчете исследователи отмечают, что сложность этой кампании и ТТР злоумышленников являются отличительной чертой поддерживаемого государством субъекта угрозы.
Начало этой кампании примерно совпадает с быстрым переходом на удаленную работу после пандемии COVID-19, с начала которая резко возросло количество маршрутизаторов SOHO (включая ASUS, Cisco, DrayTek и NETGEAR), используемых сотрудниками для доступа к корпоративным сетям из дома.
При том, что они, как правило, редко контролируются или исправляются. Но широко используются для сбора данных при передаче, угона соединений и компрометации устройств в соседних сетях, как отмечают отмечают исследователи.
После развертывания на маршрутизаторе с помощью сценария обхода аутентификации, многоступенчатое вредоносное ПО ZuoRAT предоставляет злоумышленникам углубленные возможности разведки сети и сбор трафика.
ZuoRAT также реализует боковое перемещение для компрометации других устройств и разворачивания дополнительных полезных нагрузок (например, Cobalt Strike) с помощью угона DNS и HTTP.
Кроме того, в рамках кампании доставлялись еще два пользовательских трояна: один на базе C++ под названием CBeacon, нацеленный на рабочие станции Windows, и другой на основе Go, получивший название GoBeacon, который ориентирован на системы Linux и Mac, помимо устройств Windows.
Дополнительное вредоносное ПО, развернутое в системах в сетях жертв (CBeacon, GoBeacon и Cobalt Strike), позволило актору загружать файлы, выполнять произвольные команды, захватывать сетевой трафик, внедрять новые процессы и получать устойчивость на скомпрометированных устройствах.
Некоторые скомпрометированные маршрутизаторы также были добавлены в ботнет и использовались в качестве прокси и управления трафиком (C2), скрывая обнаружение.
По мнению ресерчеров, уровень сложности кампании, а также продемонстрированные возможности, включая получение доступа к устройствам SOHO разных марок и моделей, сбор информации о хостах и локальной сети, перехват сетевых коммуникаций для получения потенциально постоянного доступа к наземным устройствам и намеренно скрытой инфраструктуры C2, использующей многоступенчатый изолированный маршрутизатор для связи, - указывает на работу профи, который, остаётся незамеченным в периметре целевых сетей в течение многих лет. А сама кампания не ограничивается небольшим количеством обнаруженных жертв.