یک ویروس جدید به مودم ها حمله می کند!

محققان می گویند که یک بدافزار جدید به روترها حمله می کند به نام Trojan ZuoRAT با دسترسی از راه دور احتمالاً کار یک دولت ملت است و حداقل 80 هدف مختلف را آلوده کرده است.

محققان در 28 ژوئن گزارش دادند که یک گروه هک غیرمعمول پیشرفته تقریباً دو سال را صرف آلوده کردن طیف گسترده ای از روترها در آمریکای شمالی و اروپا با بدافزاری کرده است که کنترل کامل دستگاه های متصل دارای ویندوز، macOS و لینوکس را در اختیار می گیرد.

تاکنون، محققان آزمایشگاه‌های لوتوس سیاه Lumen Technologies می‌گویند که حداقل ۸۰ هدف آلوده به بدافزار مخفی را شناسایی کرده‌اند، از جمله روترهای ساخته‌شده توسط Cisco، Netgear، Asus و DrayTek. تروجان دسترسی از راه دور که ZuoRAT نام دارد بخشی از یک کمپین هک گسترده تر است که حداقل از سه ماهه چهارم سال 2020 وجود داشته است و به کار خود ادامه می دهد.

بدافزار جدید به روترها حمله می کند — **Trojan ZuoRAT**

پیچیدگی این بدافزار

کشف بدافزار سفارشی ساخته شده برای معماری MIPS و کامپایل شده برای روترهای اداری کوچک و اداری خانگی، به ویژه با توجه به طیف وسیعی از قابلیت های آن، قابل توجه است. توانایی آن برای شمارش تمام دستگاه‌های متصل به یک روتر آلوده و جمع‌آوری جستجوهای DNS و ترافیک شبکه که ارسال و دریافت می‌کنند و شناسایی نشده باقی می‌مانند، مشخصه یک عامل تهدید بسیار پیچیده است.

محققان Black Lotus Labs نوشتند: «در حالی که به خطر انداختن روترهای SOHO به عنوان یک بردار دسترسی برای دسترسی به یک LAN مجاور، یک تکنیک جدید نیست، به ندرت گزارش شده است». “به طور مشابه، گزارش‌های مربوط به حملات به سبک شخص متوسط، مانند ربودن DNS و HTTP، حتی نادرتر هستند و نشانه‌ای از یک عملیات پیچیده و هدفمند هستند. استفاده از این دو تکنیک به طور همسو نشان دهنده سطح بالایی از پیچیدگی است. عامل تهدید، نشان می دهد که این کمپین احتمالا توسط یک سازمان تحت حمایت دولت انجام شده است.”

این کمپین شامل حداقل چهار بدافزار است که سه مورد از آنها از ابتدا توسط عامل تهدید نوشته شده است. اولین قطعه ZuoRAT مبتنی بر MIPS است که شباهت زیادی به بدافزار اینترنت اشیاء Mirai دارد که به حملات انکار سرویس توزیع شده رکوردشکنی دست یافت که برخی از خدمات اینترنتی را برای روزها فلج کرد. ZuoRAT اغلب با بهره برداری از آسیب پذیری های اصلاح نشده در دستگاه های SOHO نصب می شود.

پس از نصب، ZuoRAT دستگاه های متصل به روتر آلوده را شمارش می کند. سپس عامل تهدید می‌تواند از ربودن DNS و ربودن HTTP برای وادار کردن دستگاه‌های متصل به نصب بدافزارهای دیگر استفاده کند. دو مورد از این بدافزارها – با نام‌های CBeacon و GoBeacon – سفارشی ساخته شده‌اند که اولی برای ویندوز به زبان C و دومی در Go برای کامپایل متقابل در دستگاه‌های لینوکس و macOS نوشته شده است. برای انعطاف‌پذیری، ZuoRAT همچنین می‌تواند دستگاه‌های متصل را با ابزار هک Cobalt Strike که به طور گسترده مورد استفاده قرار می‌گیرد، آلوده کند

ZuoRAT می تواند الودگی هارا را با استفاده از یکی از دو روش به دستگاه های متصل منتقل کند:

ربودن DNS، که آدرس های IP معتبر مربوط به دامنه ای مانند گوگل یا فیس بوک را با آدرس مخربی که توسط مهاجم اداره می شود جایگزین می کند.

ربودن HTTP، که در آن بدافزار خود را به اتصال وارد می کند تا خطای 302 ایجاد کند که کاربر را به آدرس IP دیگری هدایت می کند.

عمدا پیچیده

Black Lotus Labs گفت زیرساخت فرماندهی و کنترل مورد استفاده در این کمپین عمدا پیچیده است تا بتواند آنچه را که در حال رخ دادن است پنهان کند. یک مجموعه از زیرساخت ها برای کنترل روترهای آلوده استفاده می شود و دیگری برای دستگاه های متصل در صورتی که بعداً آلوده شوند، رزرو می شود.

محققان روترهایی را از 23 آدرس IP با اتصال دائمی به یک سرور کنترلی مشاهده کردند که معتقدند در حال انجام یک بررسی اولیه برای تعیین اینکه آیا اهداف مورد علاقه هستند یا خیر. زیر مجموعه ای از آن 23 روتر بعداً به مدت سه ماه با یک سرور پروکسی مستقر در تایوان تعامل داشتند. زیرمجموعه دیگری از روترها به سمت یک سرور پروکسی مستقر در کانادا چرخید تا زیرساخت مهاجم را مبهم کند.

محققان نوشتند:

قابلیت مشاهده Black Lotus Labs نشان می‌دهد که ZuoRAT و فعالیت‌های مرتبط نشان‌دهنده یک کمپین بسیار هدفمند علیه سازمان‌های ایالات متحده و اروپای غربی است که با ترافیک اینترنتی معمولی از طریق زیرساخت مبهم و چند مرحله‌ای C2 ترکیب می‌شود، که احتمالاً با مراحل مختلف آلودگی بدافزار هماهنگ است. اینکه تا چه حد بازیگران برای پنهان کردن زیرساخت C2 تلاش می کنند نمی توان اغراق کرد. اول، برای جلوگیری از سوء ظن، آنها سوء استفاده اولیه را از یک سرور خصوصی مجازی اختصاصی (VPS) که محتوای بی‌خطر را میزبانی می‌کرد، واگذار کردند. سپس، آنها از روترها به عنوان پروکسی C2 استفاده کردند که از طریق ارتباط روتر به روتر در دید ساده پنهان می شدند تا از شناسایی بیشتر جلوگیری کنند. و در نهایت، آنها مسیریاب های پروکسی را به صورت دوره ای می چرخانند تا از شناسایی جلوگیری کنند.

کشف این کمپین در حال انجام مهمترین موردی است که روترهای SOHO را از VPNFilter، بدافزار روتر ایجاد و مستقر شده توسط دولت روسیه که در سال 2018 کشف کرد، تحت تأثیر قرار می‌دهد. روترها اغلب نادیده گرفته می‌شوند، به ویژه در عصر کار از خانه. در حالی که سازمان‌ها اغلب الزامات سخت‌گیرانه‌ای برای دستگاه‌هایی دارند که مجاز به اتصال هستند، تعداد کمی از وصله‌ها یا سایر حفاظت‌ها را برای روترهای دستگاه‌ها الزامی می‌کنند.

مانند بسیاری از بدافزارهای روتر، ZuoRAT نمی تواند از راه اندازی مجدد دوام بیاورد. به سادگی راه اندازی مجدد یک دستگاه آلوده، اکسپلویت اولیه ZuoRAT را که شامل فایل های ذخیره شده در یک فهرست موقت است، حذف می کند. اما برای بازیابی کامل، دستگاه های آلوده باید به حالت کارخانه بازنشانی شوند. متأسفانه، اگر دستگاه‌های متصل به بدافزار دیگر آلوده شده باشند، نمی‌توان آن‌ها را به این راحتی ضدعفونی کرد.