SOHO Router を標的とする ZuoRAT マルウェア:米国/欧州の 80社をスティルス侵害

SOHO Routers in North America and Europe Targeted With ‘ZuoRAT’ Malware

2022/06/30 SecurityWeek — Lumen Technologies の脅威情報部門である Black Lotus Labs のセキュリティ研究者たちによると、ある SOHO (small office/home office) デバイスを標的とする RAT (remote access trojan) が、2年近く検出されなかった状況にあるという。この ZouRAT と名付けられたマルウェアは、リモートワーカーを標的とする巧妙なキャンペーンの一環として、北米/欧州に存在するデバイスに展開されており、国家に支援された脅威アクターによる犯行の可能性がある。研究者たちは、少なくとも 80 の事業体が影響を受けた可能性があると推定している。

この攻撃は 2020年10月に始まり、ASUS/Cisco/DrayTek/NETGEAR などの SOHO ルーターの既知の脆弱性を標的にして、イニシャル・アクセスを行ってきた。続いて、攻撃者はネットワーク上のデバイス群を列挙し、より多くのシステムへと横移動するようになってきた。

Black Lotus Labs の研究者たちの発見によると、ネットワーク上のワークステーションの攻撃に成功した脅威アクターが、ファイルのダウンロード/アップロードおよび、コマンドの実行、持続性を実現する、2つのカスタム RAT に感染させた可能性が高いという証拠も示されている。

ZuoRAT は、主として SOHO ルーターを標的とする多段型 RAT であり、内部 LAN を列挙し、感染させたデバイスから送信されるデータを傍受することで、DNS/HTTP ハイジャックなどの中間者攻撃を実行するという。

Black Lotus Labs によると、ネットワーク列挙/トラフィック・ハイジャックなどに SOHO ルーターを使用することは、このキャンペーンの背後にいる脅威アクターが高い技術力を持っていることを意味し、国家が支援するグループの存在を示唆するものであるとしている。

この攻撃で用いられた Windows ローダーがリモートリソースを取得し、高度な機能を持つ第2ステージのエージェントをロードすることが確認されている。環境によっては、カスタム RAT (CBeacon C++/GoBeacon Go)、または、Cobalt Strike Beacon が、エージェントとして使用された可能性もあるという。

ZuoRAT エージェント・フレームワークは、自動実行される関数および、追加コマンドで呼び出される関数である、2つのコンポーネントに分類されると、研究者たちは述べている。

最初のコンポーネントは、ネットワークの詳細な偵察を行うためのものである。また、2番目のコンポーネントには、最初のコンポーネントが集めた情報に基づきダウンロードされた、モジュールが実行すると思われる追加のコマンドが含まれていた。

Black Lotus Labs は、「この中には、パスワード・スプレーから、USBメモリへの書き込みや、コード・インジェクションに至るまでの、約 2,500の組み込み関数が含まれていた。標的となった LAN 環境の、ターゲット情報を追加で提供する LAN 列挙機能と、それに続く DNS/HTTP ハイジャック機能という、これまでの防御側では検知することが困難な攻撃スタイルが目新しかった」と指摘している。

また、難読化された多段階の Command and Control (C&C) インフラも確認されており、マルウェア感染の各フェーズに対応している可能性が高いとされている。さらに、それらの C&C では、中国に拠点を置くサードパーティ Yuque/Tencent などの、インフラが使用されていたという。

攻撃者は、専用の VPS を用いて最初のエクスプロイトを配信した後に、ルーターをプロキシとして悪用することで C&C 通信を隠し、プロキシルーターを定期的に交代させることで検知を避けている。

いわゆる SOHO ルーターですが、この記事にある ASUS/Cisco/DrayTek/NETGEAR などの他に、いくつかのインシデントを起こしたものとしては、TrickBot に侵害された MikroTik や、英国での Sky Router 乗っ取りの件などが印象に残っています。よろしければ、Router で検索も、ご利用ください。この領域を狙う、脅威アクターたちの TTP も進化しているようです。

%d bloggers like this: