ZuoRAT

Baru-baru ini, Black Lotus Labs mengamati kampanye canggih, yang mungkin dilakukan oleh organisasi yang disponsori negara. Kampanye ini mendistribusikan RAT multistage, dijuluki ZuoRAT, yang dikembangkan khusus untuk router kantor kecil/rumah (SOHO).

ZuoRAT dan aktivitas terkait mewakili kampanye yang sangat bertarget terhadap organisasi Amerika Utara dan Eropa.
Kampanye ini menargetkan banyak router SOHO yang diproduksi oleh ASUS, Cisco, DrayTek, dan NETGEAR.

Malware disebarkan di router, setelah mengeksploitasi kerentanan yang diketahui (CVE-2020-26878 dan CVE-2020-26879, dalam beberapa kasus), dengan bantuan skrip eksploit bypass otentikasi.

Kampanye ini menggunakan infrastruktur pihak ketiga yang berbasis di China seperti platform Yuque Alibaba untuk infrastruktur komando dan kontrol rahasia dan platform Tencent sebagai redirector untuk perintah dan kontrol.

ZuoRAT tampaknya merupakan versi botnet Mirai yang sangat dimodifikasi. Fungsionalitasnya dapat dibagi menjadi dua komponen: dijalankan otomatis saat dieksekusi (komponen inti) dan fungsi ekspor yang disematkan secara eksplisit (perintah bantu).
Komponen fungsionalitas inti mengumpulkan informasi tentang router dan LAN, memungkinkan pengambilan paket lalu lintas jaringan, dan mengirimkan informasi kembali ke C2.

Perintah bantu fokus pada kemampuan enumerasi LAN, yang menyediakan aktor dengan informasi penargetan tambahan untuk lingkungan LAN, kemampuan pembajakan DNS dan HTTP berikutnya, kegigihan dan pemeliharaan agen, dan gaya serangan yang secara tradisional sulit dideteksi oleh pembela HAM.

Kampanye malware ZuoRAT telah diamati menggunakan pemuat Windows untuk mendapatkan sumber daya jarak jauh dan menjalankannya di mesin host. Selanjutnya, itu digunakan untuk memuat salah satu agen tahap kedua yang berfungsi penuh.

Kemampuan yang ditunjukkan oleh ZuoRAT menunjukkan aktor yang sangat canggih yang mungkin telah hidup tanpa terdeteksi di tepi jaringan yang ditargetkan selama bertahun-tahun. Untuk mitigasi, organisasi harus memastikan perencanaan patch untuk router dan memastikan perangkat ini menjalankan perangkat lunak terbaru yang tersedia.

Sumber: CYWARE

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

ZuoRAT Malware dengan Keunggulan Threat Actor yang Didukung Negara

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

ZuoRAT

Cookies Settings