Technology

Serangan ZuoRAT yang canggih menargetkan pekerja rumahan – Keamanan

Peneliti keamanan telah menemukan kampanye canggih yang menargetkan router kelas konsumen dari beberapa produsen di Eropa dan Amerika Utara.

Para peneliti di vendor keamanan Lumen’s Black Lotus Labs melihat alat akses jarak jauh multi-tahap ZuoRAT membajak bisnis kecil dan router perumahan dari merek seperti Cisco, ASUS, DrayTek, dan Netgear.

Mereka mencatat bahwa SOHO [small office/home office] perangkat jarang dipantau atau ditambal.

Black Lotus Labs menamai tahap pertama malware ZuoRAT setelah nama file asdf.a, yang menunjuk ke pengetikan dengan tangan kiri oleh pembuat malware, dan mengatakan itu telah digunakan setidaknya sejak tahun 2020.

File adfs.a ZuoRAT berjalan pada router dengan prosesor MIPS, dan dapat menghitung host dan jaringan internal.

Itu juga dapat melakukan penangkapan paket, pembajakan man-in-the-middle pencarian sistem nama domain, dan perutean ulang lalu lintas web.

Setelah router dibajak, loader untuk komputer Windows dapat menyebarkan salah satu dari tiga Trojan: CBeacon, GoBeacon, atau Cobalt Strike.

Pelaku ancaman telah mencoba menyembunyikan infrastruktur komando dan kontrol mereka, termasuk pengalihan lalu lintas, yang menunjukkan musuh negara-bangsa, kata Black Lotus Labs.

“Meskipun mengkompromikan router SOHO sebagai vektor akses untuk mendapatkan akses ke LAN yang berdekatan bukanlah teknik baru, itu jarang dilaporkan.

Demikian pula, laporan serangan gaya person-in-the-middle, seperti pembajakan DNS dan HTTP, bahkan lebih jarang dan merupakan tanda operasi yang kompleks dan terarah.

“Penggabungan kedua teknik ini menunjukkan tingkat kecanggihan yang tinggi oleh aktor ancaman,” tulis para peneliti.

Black Lotus Labs menemukan karakter China dalam sampel malware, dan RAT Windows berinteraksi dengan infrastruktur C2 yang dihosting di jaringan Alibaba Yuque dan Tencent di China.

Karena kemampuan pemantauan yang terbatas di router yang disusupi, Black Lotus Labs mengatakan bahwa mereka hanya memiliki pandangan yang sempit tentang kampanye.

Kabar baiknya bagi pengguna adalah ZuoRAT tidak bertahan melalui reboot, jadi Black Lotus Labs mengatakan pengguna harus me-reboot router mereka secara teratur.

Mereka juga harus menerapkan patch vendor bila tersedia, dan bisnis harus mempertimbangkan solusi tepi layanan akses yang aman untuk meningkatkan postur keamanan mereka.

Posted By : pengeluaran hk hari ini 2021