Se ha descubierto un nuevo troyano de acceso remoto (RAT) con un alto nivel de sofisticación, existente desde 2020 y que continúa operando, y cuyos objetivos son routers de diversos fabricantes.
Los investigadores de Black Lotus Labs de Lumen Technologies han descubierto un nuevo malware, apodado ZuoRAT como parte de una campaña mayor que se remonta al menos hasta el cuarto trimestre de 2020. Se trata de un troyano creado a medida para la arquitectura MIPS y compilado para routers destinados a oficinas pequeñas y domésticas (SOHO por las siglas de ‘Small Office and Home Office’). Dispone de capacidad para enumerar todos los dispositivos conectados a un router e infectarlos, capturar tráfico de red, realizar ataques man-in-the-middle (secuestro de DNS y HTTPS basado en reglas predefinidas), así como permanecer indetectable en el dispositivo. Para infectar un dispositivo SOHO, el malware explota vulnerabilidades conocidas sin parchear.
Se tiene conocimiento de que algunos de los objetivos de ZuoRAT son los routers de los fabricantes Cisco, Netgear, Asus y DrayTek. Entre otros, se han encontrado los siguientes dispositivos afectados:
- Cisco RV320
- Cisco RV325
- Cisco RV420
- Asus RT-AC68U
- Asus RT-AC530
- Asus RT-AC68P
- Asus RT-AC1900U
- DrayTek Vigor 3900
- dispositivos Netgear no especificados
La infección de los routers es utilizada como vector de entrada para acceder a una red LAN y tomar el control total de los dispositivos conectados que ejecuten Windows, macOS y Linux. A través de dos métodos puede lograr la instalación de otro malware en los dispositivos conectados al router infectado:
- secuestro de DNS: reemplaza las direcciones IP válidas correspondientes a un dominio por una maliciosa controlada por el atacante.
- secuestro de HTTP: inserta en la conexión una redirección 302 para llevar al usuario a un sitio diferente y controlado por el atacante.
Para lograr la infección de otro tipo de dispositivos, la campaña se compone de al menos cuatro piezas, tres de ellas escritas desde cero. Son las siguientes:
- ZuoRAT, escrito para MIPS para los routers
- Cbeacon, escrito en C++ para Windows
- GoBeacon, escrito en Go para dispositivos Linux y macOS
- la herramienta Cobalt Strike
Con el objetivo de evitar sospechas, el exploit inicial se descarga desde un servidor privado virtual (VPS) dedicado que alberga contenido benigno. Posteriormente se han aprovechado las comunicaciones entre routers usandolos como proxy para acceder al C2, y finalmente se han cambiado periódicamente los routers proxy para dificultar la detección. Se ha observado también la configuración de falsas páginas de inicio para los servidores C2. Todo ello ha contribuido a que esta campaña haya pasado desapercibida durante casi dos años.
Además, la infraestructura de comando y control (C2) se divide en dos conjuntos: uno para controlar los routers infectados, y otro reservado para los dispositivos conectados que se infecten más adelante.
Black Lotus Labs considera que se trata de una operación compleja y dirigida contra empresas y organizaciones de América del Norte y Europa, que posiblemente fue realizada por una organización patrocinada por algún estado debido a su alto nivel de sofisticación.
A pesar de que las organizaciones suelen tener requisitos estrictos sobre qué dispositivos pueden conectarse, son pocas las que exigen la aplicación de parches u otras medidas de seguridad para los routers y dispositivos de red.
ZuoRAT, como la mayoría del malware para routers, no puede persistir tras un reinicio del dispositivo. El exploit inicial, que consiste en archivos almacenados en un directorio temporal. es eliminado al reiniciar el dispositivos y para recuperarse por completo basta con restablecer de fábrica el dispositivo SOHO. Sin embargo, en el caso de los dispositivos conectados infectados con otro malware, la solución no es tan simple.
Los investigadores mantienen un listado completo de los IoCs para ZouRAT en GitHub, disponible para su consulta.
Más información:
ZuoRAT Hijacks SOHO Routers To Silently Stalk Networks
https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/
BlackLotus Labs Research Update ZuoRAT_IoCs.txt
https://github.com/blacklotuslabs/IOCs/blob/main/ZuoRAT_IoCs.txt
Deja una respuesta