Un attore di minacce sconosciuto sta prendendo di mira i router (si apre in una nuova scheda) con i Trojan di accesso remoto (RAT) nel tentativo di dirottare il traffico, raccogliere dati sensibili e compromettere i dispositivi connessi.
Lo afferma Black Lotus Lab, la divisione di intelligence sulle minacce di Lumen Technologies, che ha recentemente osservato attacchi reali che sfruttano un nuovo ceppo di malware, chiamato ZuoRAT.
ZuoRAT è un Trojan di accesso remoto multilivello sviluppato esclusivamente per i router SOHO (Small Office/Home Office). È in uso da circa due anni, secondo i ricercatori, per le aziende del Nord America e dell'Europa.
Il malware sfrutta le vulnerabilità note per fornire agli aggressori l'accesso ai router. Una volta integrati, possono distribuire due RAT personalizzati aggiuntivi sui dispositivi di destinazione.
Ulteriori RAT consentono agli hacker di caricare e scaricare file, eseguire comandi e rimanere sulla workstation. Uno di questi ha funzionalità multipiattaforma, è stato aggiunto.
Black Lotus Labs ha anche trovato due server di comando e controllo (C2) separati. Uno è progettato per la workstation personalizzata RAT e sfrutta i servizi di terze parti cinesi. Il secondo è stato progettato per i router.
Questa campagna dannosa è iniziata più o meno nello stesso periodo della pandemia e i ricercatori ritengono che i due siano correlati. Quando le aziende sono passate al lavoro a distanza, i dipendenti hanno iniziato ad accedere alle reti aziendali da casa, aumentando il fattore di rischio.
Gli aggressori hanno visto questa come un'opportunità, cercando di sfruttare i dispositivi domestici come i router per i loro scopi nefasti.
"Le campagne di malware sui router rappresentano una seria minaccia per le organizzazioni perché i router esistono al di fuori del perimetro di sicurezza convenzionale e spesso possono presentare punti deboli che rendono il compromesso relativamente facile da raggiungere", ha affermato Mark Dehus, direttore di Threat Intelligence di Lumen Black Lotus Labs.
"In questa campagna, abbiamo esaminato la capacità di un attore malintenzionato di sfruttare i router SOHO, accedere di nascosto e modificare il traffico Internet in modi difficili da rilevare e ottenere un punto d'appoggio sulla rete compromessa".