日前,据报道,一个极其先进的黑客组织花了将近两年的时间用恶意软件感染了北美和欧洲的各种路由器,然后完全控制Windows、macOS和Linux联网设备的运行。LumenTechnologies黑莲花实验室的研究人员表示,他们已经确定了至少80个被隐形恶意软件感染的目标,涉及Cisco、Netgear、Asus和GrayTek等公司的路由器型号。图1-ZuoRAT活动概览(来自:BlackLotusLabs)安全研究人员指出,ZuoRAT攻击路由器的幕后黑手可能背景深厚复杂。作为更广泛的黑客活动的一部分,远程访问木马至少可以追溯到2020年第四季度。看到专门为MIPS架构编写的自定义恶意软件,这一发现为无数小型和家庭办公室敲响了安全警钟(SOHO)路由器用户。图2-命令和控制服务器上托管的默认登录页面虽然很少被报道,但通过使用路由器来隐藏意图,恶意软件不仅可以枚举连接到受感染路由器的所有设备,还可以收集发送和接收的DNS查询通过它。网络流量。涉及DNS和HTTP劫持的中间人攻击也相当罕见,这进一步表明ZuoRAT背后有相当高水平的复杂威胁参与者。图3-通信跳板显示BlackLotus在此恶意软件活动中至少发现了四个可疑对象,其中三个显然是从头开始制作的。第一个是基于MIPS的ZuoRAT,它与MiraiIoT恶意软件非常相似,并参与了破纪录的分布式拒绝服务(DDoS)攻击,但它通常利用SOHO设备中未打补丁的漏洞进行部署时间。图4-ZuoRAT恶意软件的全球分布安装后,ZuoRAT会枚举连接到受感染路由器的设备。然后,威胁行为者可以使用DNS/HTTP劫持来引导联网设备安装其他专门定制的恶意软件,包括CBeacon和GoBeacon。前者采用C++编程语言,主要针对Windows平台。后者使用Go语言编写,主要针对Linux/macOS设备。图5-恶意软件附带的三重未经认证的ZuoRAT也可以使用无处不在的CobaltStrike黑客工具来感染联网设备,远程命令和控制基础设施也非常复杂以隐藏其真正目的。图6-在CBeacon在实验室环境中生成的流量的屏幕截图中,BlackLotus安全研究人员注意到来自23个IP地址的路由器和C&C服务器建立了持久连接,这意味着攻击者正在执行初步调查以确定目标是否具有深层价值的攻击。图7-来自Go代理的网络流量截图幸运的是,与大多数路由器恶意软件一样,ZuoRAT不会在设备重启后持续存在(由存储在临时目录中的文件组成)。此外,只需重置受感染的设备即可删除原始ZuoRAT漏洞。尽管如此,我们还是建议您检查长期联网设备的固件更新。否则,一旦感染了其他恶意软件,终端设备用户仍难以将其彻底清除。图8-在CBeacon/GoBeacon上运行的C2.Heartbeat比较有关此恶意软件活动的更多详细信息,请访问BlackLotusLabs的GitHub主页。
