周二有報道稱:一個技術異常先進的黑客組織,花了將近兩年時間用惡意軟體感染北美和歐洲的各種路由器,進而完全控制了 Windows、macOS 和 Linux 聯網設備的運行。Lumen Technologies 旗下 Black Lotus 實驗室的研究人員指出,其已確認至少 80 款被隱形惡意軟體感染的目標,且涉及思科、Netgear、華碩和 GrayTek 等品牌的路由器型號。
圖 1 - ZuoRAT 活動概述(來自:Black Lotus Labs)
安全研究人員指出,針對路由器的 ZuoRAT 攻擊的幕後操盤手,或有著深厚且複雜的背景。作為更廣泛的黑客活動的一部分,這款遠程訪問木馬的活動,至少可追溯到 2020 年 4 季度。
看到專為 MIPS 架構編寫的定製惡意軟體,這項發現為無數小型和家庭辦公室(SOHO)路由器用戶敲響了安全的警鐘。
圖 2 - 命令與控制伺服器上託管的默認登錄頁面
儘管很少被報道,但通過路由器來隱匿意圖,惡意軟體不僅能夠枚舉連接到受感染路由器的所有設備,還可以收集其收發的 DNS 查詢與網路流量。
同時涉及 DNS 和 HTTP 劫持的中間人攻擊也相當罕見,這進一步表明 ZuoRAT 背後有著相當高水準的複雜威脅參與者的身影。
圖 3 - 通訊跳板示意
Black Lotus 至少在這輪惡意軟體活動期間揪出了四個可疑的對象,且其中有三個都看得出是從頭精心編製的。
首先是基於 MIPS 的 ZuoRAT,它與 Mirai 物聯網惡意軟體極其相似,曾涉及破紀錄的分散式拒絕服務(DDoS)攻擊,但它通常是利用未及時修補的 SOHO 設備漏洞來部署的。
圖 4 - ZuoRAT 惡意軟體的全球分布
安裝後,ZuoRAT 會枚舉連接到受感染路由器的設備。接著威脅參與者可利用 DNS / HTTP 劫持,引導聯網設備安裝其它特別定製的惡意軟體 —— 包括 CBeacon 和 GoBeacon 。
前者採用 C++ 編程語言,主要針對 Windows平台。後者使用 Go 語言編寫,主要針對 Linux / macOS 設備。
圖 5 - 惡意軟體附帶的三無證書
ZuoRAT 還可藉助泛濫的 Cobalt Strike 黑客工具來感染聯網設備,且遠程的命令與控制基礎設施也被可疑搞得相當複雜,以掩蓋其真實目的。
圖 6 - CBeacon 在實驗室環境中生成的流量截圖
期間 Black Lotus 安全研究人員留意到了來自 23 個 IP 地址的路由器和 C&C 伺服器建立了持久連接,意味著攻擊者正在執行初步調查以確定目標是否有深入攻擊的價值。
圖 7 - Go 代理的網路流量截圖
慶幸的是,與大多數路由器惡意軟體一樣,ZuoRAT 無法在設備重啟後留存(由存儲在臨時目錄中的文件組成)。此外只需重置受感染的設備,即可移除最初的 ZuoRAT 漏洞利用。
CBeacon 包含的八個預構建函數的功能調用
即便如此,我們還是推薦大家及時檢查長期聯網設備的固件更新。否則一旦被感染其它惡意軟體,終端設備用戶還是很難對其展開徹底的消殺。
圖 8 - 在 CBeacon / GoBeacon 上運行的 C2.Heartbeat 比較
有關這輪惡意軟體活動的更多細節,還請移步至 Black Lotus Labs 的 GitHub主頁查看。