Abnormal fortgeschritten Forscher berichteten am 28. Juni, dass die Hacking-Gruppe fast zwei Jahre damit verbracht hat, verschiedene Router in Nordamerika und Europa mit Malware zu infizieren, die angeschlossene Geräte mit Windows, macOS und Linux vollständig kontrolliert.
Bisher haben Forscher der Black Lotus Labs von Lumen Technologies mindestens 80 Ziele identifiziert, die mit Stealth-Malware infiziert sind, darunter Router von Cisco, Netgear, Asus und DrayTek. Ein Fernzugriffstrojaner namens ZuoRAT ist Teil einer umfassenderen Hacking-Kampagne, die mindestens seit dem vierten Quartal 2020 existiert und immer noch in Betrieb ist.
Fortgeschrittenes Level
Die Entdeckung von speziell entwickelter Malware, die für die MIPS-Architektur erstellt und für kleine Büro- und Home-Office-Router kompiliert wurde, ist angesichts ihrer Bandbreite an Fähigkeiten besonders wichtig. Die Fähigkeit, alle mit einem infizierten Router verbundenen Geräte aufzulisten, DNS-Lookups und den von ihnen gesendeten und empfangenen Netzwerkverkehr zu sammeln und sie unentdeckt zu lassen, ist ein Merkmal hochentwickelter Bedrohungsakteure.
“Die Gefährdung von SOHO-Routern als Zugriffsvektor für den Zugriff auf benachbarte LANs ist keine neue Technik, aber es wird selten darüber berichtet”, schreiben die Forscher von Black Lotus Labs. „In ähnlicher Weise sind Berichte über Person-in-the-Middle-Angriffe wie DNS- und HTTP-Hijacking noch seltener und sind Spuren komplexer und gezielter Operationen. Die Verwendung dieser beiden Techniken ist ein Bedrohungsfaktor wurde von einer vom Land geförderten Organisation durchgeführt.”
Die Kampagne enthält mindestens vier Malware, von denen drei von Angreifern von Grund auf neu erstellt wurden. Das erste Stück ist das MIPS-basierte Zuo RAT. Dies ist der Internet-of-Things-Malware von Mirai sehr ähnlich, die einen Rekord für einen dezentralen Denial-of-Service-Angriff erzielt hat, der dazu geführt hat, dass einige Internetdienste mehrere Tage lang nicht funktionierten. ZuoRAT wird häufig installiert, indem eine ungepatchte Schwachstelle in SOHO-Geräten ausgenutzt wird.
Nach der Installation listet ZuoRAT die mit dem infizierten Router verbundenen Geräte auf. Angreifer können DNS-Hijacking und HTTP-Hijacking verwenden, um andere Malware auf verbundenen Geräten zu installieren. Zwei dieser Malware (namens CBeacon und GoBeacon) sind kundenspezifisch, ursprünglich in C++ für Windows und letztere in Go für die Cross-Kompilierung auf Linux- und macOS-Geräten geschrieben. .. Für mehr Flexibilität kann ZuoRAT auch verbundene Geräte mit dem weit verbreiteten Hacking-Tool Cobalt Strike infizieren.
ZuoRAT kann die Infektion mit einer von zwei Methoden auf verbundene Geräte umlenken:
- DNS-Hijacking. Ersetzt eine gültige IP-Adresse für eine Domain wie Google oder Facebook durch eine böswillige IP-Adresse, die von einem Angreifer betrieben wird.
- HTTP-Hijacking. Die Malware fügt sich in die Verbindung ein und generiert einen 302-Fehler, der den Benutzer auf eine andere IP-Adresse umleitet.
Absichtlich kompliziert
Black Lotus Labs sagte, die in der Kampagne verwendete Befehls- und Kontrollinfrastruktur sei absichtlich kompliziert gewesen, um zu verbergen, was passierte. Ein Satz Infrastruktur wird verwendet, um den infizierten Router zu kontrollieren, und ein anderer Satz ist für verbundene Geräte im Falle einer späteren Infektion reserviert.
Forscher haben Router von 23 IP-Adressen mit dauerhaften Verbindungen zum Kontrollserver beobachtet, von denen sie glauben, dass sie erste Untersuchungen durchführen, um festzustellen, ob das Ziel angegriffen wird. .. Eine Teilmenge dieser 23 Router interagierte in den nächsten drei Monaten mit einem in Taiwan ansässigen Proxy-Server. Eine weitere Untergruppe von Routern wurde auf in Kanada ansässige Proxy-Server umgestellt, um die Infrastruktur des Angreifers zu verschleiern.