Неизвестный злоумышленник атакует маршрутизаторы (откроется в новой вкладке) с помощью троянов удаленного доступа (RAT) для захвата трафика, сбора конфиденциальных данных и компрометации подключенных устройств.
Об этом сообщает Black Lotus Lab, подразделение Lumen Technologies по анализу угроз, которое недавно наблюдало за реальными атаками с использованием нового штамма вредоносного ПО под названием ZuoRAT.
ZuoRAT — многоэтапный троян удаленного доступа, разработанный исключительно для маршрутизаторов SOHO (малый офис/домашний офис). По словам исследователей, он используется уже около двух лет и нацелен на бизнес в Северной Америке и Европе.
Вредоносное ПО использует известные уязвимости, чтобы предоставить злоумышленникам доступ к маршрутизаторам. Оказавшись внутри, они могут развернуть на целевых устройствах две дополнительные, специально созданные RAT.
Дополнительные RAT позволяют злоумышленникам загружать и скачивать файлы, выполнять команды и сохраняться на рабочей станции. Один из них имеет кроссплатформенный функционал, его добавили.
Black Lotus Labs также обнаружила два отдельных сервера управления и контроля (C2). Один предназначен для пользовательской рабочей станции RAT и использует сторонние сервисы Китая. Второй был разработан для маршрутизаторов.
Эта вредоносная кампания началась примерно в то же время, что и пандемия, и исследователи считают, что они связаны между собой. Когда предприятия перешли на удаленную работу, сотрудники стали получать доступ к корпоративным сетям из дома, что увеличило фактор риска.
Злоумышленники увидели в этом возможность, пытаясь использовать домашние устройства, такие как маршрутизаторы, в своих гнусных целях.
«Кампании вредоносного ПО для маршрутизаторов представляют серьезную угрозу для организаций, поскольку маршрутизаторы существуют за пределами обычного периметра безопасности и часто могут иметь слабые места, которые делают компрометацию относительно простой задачей», — сказал Марк Дехус, директор по анализу угроз в Lumen Black Lotus Labs.
«В ходе этой кампании мы наблюдали способность злоумышленника использовать маршрутизаторы SOHO, тайно получать доступ к интернет-трафику и изменять его способами, которые трудно обнаружить, и получать дополнительные точки опоры в скомпрометированной сети».
