ZuoRAT greift Router an

Ein neu entdeckter Remote-Access-Trojaner (RAT) namens ZuoRAT hat es auf Remote-Mitarbeiter abgesehen, indem er Schwachstellen in häufig ungepatchten SOHO-Routern (Small Office/Home Office) ausnutzt.

Forscher der Black Lotus Labs Threat Intelligence Unit von Lumen Technologies berichten, dass ZuoRAT Teil einer sehr gezielten, ausgeklügelten Kampagne ist, die seit fast zwei Jahren, beginnend im Oktober 2020, auf Arbeitnehmer in Nordamerika und Europa abzielt. „Die von den Analysten beobachteten Taktiken, Techniken und Verfahren (TTPs) sind hochentwickelt und tragen die Merkmale eines wahrscheinlich nationalstaatlichen Bedrohungsakteurs“, so Lumen.

Lumen erklärt, dass, als die Pandemie im März 2020 die Arbeitnehmer nach Hause schickte, die Bedrohungsakteure eine neue Gelegenheit bekamen, SOHO-Router – oder Edge-Netzwerkgeräte – ins Visier zu nehmen, die von den Netzwerkadministratoren der Unternehmen nur selten überwacht oder gepatcht werden und die außerhalb der traditionellen Netzwerkperimeter liegen.

Das Unternehmen ist der Ansicht, dass die Fähigkeiten der Malware darauf hindeuten, dass es sich um das Werk eines hochentwickelten Akteurs handelt.

Zu diesen Fähigkeiten gehören Zugang zu SOHO-Geräten verschiedener Marken und Modelle, Sammeln von Host- und LAN-Informationen zur Information über die Zielsetzung, Sampling und Hijacking der Netzwerkkommunikation, um potenziell dauerhaften Zugang zu Geräten im Inland zu erlangen, und eine absichtlich getarnte C2-Infrastruktur, die mehrstufige Silo-Router-zu-Router-Kommunikation nutzt.

Lumen räumt ein, dass es nur einen kleinen Einblick in die breiteren Fähigkeiten des Akteurs hat, aber seine Forscher schätzen mit „hohem Vertrauen“, dass die Elemente, die es verfolgt, Teil einer breiteren Kampagne sind. Außerdem schätzt Lumen, dass diese Kampagne mindestens 80 Ziele betroffen hat, aber wahrscheinlich noch viel mehr. Black Lotus Labs stellt fest, dass es Telemetrie beobachtet hat, die auf Infektionen hinweist, die von zahlreichen SOHO-Router-Herstellern stammen, darunter ASUS, Cisco, DrayTek und Netgear.

Zu den Bestandteilen der Kampagne, die die Forscher bisher ausfindig gemacht haben, gehören der ZuoRAT für SOHO-Router, ein in C++ kompilierter Loader für Windows und drei Agenten, die die Enumeration von Geräten, das Herunter- und Hochladen von Dateien, das Hijacking der Netzwerkkommunikation (DNS/HTTP) und die Prozessinjektion ermöglichen.

Zu den drei Agenten gehören:

CBeacon – Ein speziell entwickeltes, in C++ geschriebenes RAT, das in der Lage war, Dateien hoch- und herunterzuladen, beliebige Befehle auszuführen und auf dem infizierten Computer über eine COM-Hijacking-Methode (Component Object Model) zu verbleiben.

GoBeacon – Ein speziell entwickelter RAT, der in Go geschrieben wurde. Dieser Trojaner verfügte über fast dieselbe Funktionalität wie CBeacon, ermöglichte aber auch die Cross-Kompilierung auf Linux- und MacOS-Geräten.

Cobalt Strike – In einigen Fällen wurde dieses leicht verfügbare Remote Access Framework anstelle von CBeacon oder GoBeacon verwendet.

„Router-Malware-Kampagnen stellen eine ernste Bedrohung für Unternehmen dar, da Router außerhalb des herkömmlichen Sicherheitsbereichs liegen und oft Schwachstellen aufweisen, die eine Kompromittierung relativ einfach machen“, so Mark Dehus, Director of Threat Intelligence bei Lumen Black Lotus Labs. „Unternehmen sollten SOHO-Geräte genau im Auge behalten und auf Anzeichen von Aktivitäten achten, die in dieser Untersuchung beschrieben werden. Der hohe Grad an Raffinesse lässt uns vermuten, dass diese Kampagne nicht auf die geringe Anzahl der beobachteten Opfer beschränkt ist. Um die Bedrohung einzudämmen, sollten sie sicherstellen, dass die Patch-Planung auch Router umfasst und dass auf diesen Geräten die neueste verfügbare Software installiert ist.“