Dijuluki trojan akses jarak jauh yang belum pernah dilihat sebelumnya ZuoRAT telah memilih router small office/home office (SOHO) sebagai bagian dari kampanye canggih yang menargetkan jaringan Amerika Utara dan Eropa.
Malware “memberikan aktor kemampuan untuk berputar ke jaringan lokal dan mendapatkan akses ke sistem tambahan di LAN dengan membajak komunikasi jaringan untuk mempertahankan pijakan yang tidak terdeteksi,” kata peneliti dari Lumen Black Lotus Labs dalam sebuah laporan yang dibagikan dengan The Hacker News.
Operasi sembunyi-sembunyi, yang menargetkan router dari ASUS, Cisco, DrayTek, dan NETGEAR, diyakini telah dimulai pada awal 2020 selama bulan-bulan awal pandemi COVID-19, secara efektif tetap berada di bawah radar selama lebih dari dua tahun.
“Konsumen dan karyawan jarak jauh secara rutin menggunakan router SOHO, tetapi perangkat ini jarang dipantau atau ditambal, yang menjadikannya salah satu titik terlemah dari perimeter jaringan,” kata tim intelijen ancaman perusahaan.
Akses awal ke router diperoleh dengan memindai kelemahan yang diketahui belum ditambal untuk memuat alat akses jarak jauh, menggunakannya untuk mendapatkan akses ke jaringan dan menjatuhkan pemuat shellcode tahap berikutnya yang digunakan untuk mengirimkan Cobalt Strike dan pintu belakang khusus seperti CBeacon dan GoBeacon yang mampu menjalankan perintah arbitrer.
Selain memungkinkan pengintaian mendalam jaringan target, pengumpulan lalu lintas, dan pembajakan komunikasi jaringan, malware tersebut telah digambarkan sebagai versi botnet Mirai yang sangat dimodifikasi, yang kode sumbernya bocor pada Oktober 2016.
“ZuoRAT adalah file MIPS yang dikompilasi untuk router SOHO yang dapat menghitung host dan LAN internal, menangkap paket yang dikirimkan melalui perangkat yang terinfeksi, dan melakukan serangan person-in-the-middle (pembajakan DNS dan HTTPS berdasarkan aturan yang telah ditentukan),” kata para peneliti.
Juga termasuk fungsi untuk memanen koneksi TCP melalui port 21 dan 8443, yang terkait dengan FTP dan penjelajahan web, yang berpotensi memungkinkan musuh untuk mengawasi aktivitas internet pengguna di belakang router yang disusupi.
Kemampuan ZuoRAT lainnya memungkinkan penyerang untuk memantau lalu lintas DNS dan HTTPS dengan tujuan untuk membajak permintaan dan mengarahkan korban ke domain jahat menggunakan aturan preset yang dibuat dan disimpan dalam direktori sementara dalam upaya untuk menolak analisis forensik.
Itu bukan satu-satunya langkah yang diambil oleh peretas untuk menyembunyikan aktivitasnya, karena serangan tersebut mengandalkan infrastruktur C2 multi-tahap yang dikaburkan yang melibatkan penggunaan server pribadi virtual untuk menghentikan eksploitasi RAT awal dan memanfaatkan router yang dikompromikan itu sendiri sebagai server proxy C2. .
Untuk menghindari deteksi lebih lanjut, server pementasan telah terlihat menampung konten yang tampaknya tidak berbahaya, dalam satu contoh meniru situs web bernama “muhsinlar.net,” sebuah portal propaganda yang didirikan untuk Partai Islam Turkestan (TIP), sebuah kelompok ekstremis Uyghur yang berasal dari China. .
Identitas kelompok musuh di balik kampanye tersebut masih belum diketahui, meskipun analisis artefak telah mengungkapkan kemungkinan referensi ke provinsi Xiancheng di China dan penggunaan Yuque dan Tencent Alibaba untuk komando dan kontrol (C2).
Sifat operasi yang rumit dan mengelak ditambah dengan taktik yang digunakan dalam serangan untuk tetap menyamar menuju aktivitas negara-bangsa yang potensial, catat Black Lotus Labs.
“Kemampuan yang ditunjukkan dalam kampanye ini — mendapatkan akses ke perangkat SOHO dari berbagai merek dan model, mengumpulkan informasi host dan LAN untuk menginformasikan penargetan, pengambilan sampel, dan pembajakan komunikasi jaringan untuk mendapatkan akses yang berpotensi persisten ke perangkat dalam negeri dan secara sengaja menyembunyikan infrastruktur C2 yang memanfaatkan multistage komunikasi router ke router – menunjuk ke aktor yang sangat canggih,” para peneliti menyimpulkan.