ZuoRAT IOCs

Black Lotus Labs, подразделение компании Lumen Technologies, занимающееся анализом угроз, в настоящее время отслеживает элементы сложной кампании, использующей зараженные маршрутизаторы SOHO для атак на преимущественно североамериканские и европейские сети. Они обнаружили многоступенчатый троян удаленного доступа (RAT), разработанный для устройств SOHO, который дает возможность злоумышленнику проникнуть в локальную сеть и получить доступ к дополнительным системам в локальной сети путем перехвата сетевых коммуникаций для сохранения незамеченной точки опоры.

ZuoRAT

ZuoRAT - это MIPS-файл, скомпилированный для SOHO-маршрутизаторов, который может перечислять хост и внутреннюю локальную сеть, перехватывать пакеты, передаваемые через зараженное устройство, и выполнять атаки типа "человек посередине" (перехват DNS и HTTPS на основе заранее определенных правил). В настоящее время не удалось восстановить набор правил, однако Black Lotus Labs предполагает, что модуль hijack был вектором доступа для развертывания последующих загрузчиков шеллкода. Используя глобальную телеметрию Lumen.

Хотя компрометация маршрутизаторов SOHO в качестве вектора доступа для получения доступа к соседней локальной сети не является новой техникой, о ней редко сообщалось. Аналогично, сообщения об атаках типа "человек посередине", таких как перехват DNS и HTTP, встречаются еще реже и являются признаком сложной и целенаправленной операции. Использование этих двух методов демонстрирует высокий уровень сложности, указывая на то, что эта кампания, возможно, была проведена организацией, спонсируемой государством.

Проанализированный загрузчик Windows обращался к удаленному ресурсу, а затем запускал его на хост-машине. По оценкам Black Lotus Labs, он использовался для загрузки одного из следующих полнофункциональных агентов второго этапа, в зависимости от среды:

  • CBeacon - разработанный на заказ RAT, написанный на C++, который имел возможность загружать и скачивать файлы, выполнять произвольные команды и сохраняться на зараженной машине с помощью метода перехвата объектной модели компонента (COM).
  • GoBeacon - пользовательский RAT, написанный на языке Go. Этот троян обладал почти такой же функциональностью, как и CBeacon, но при этом допускал кросс-компиляцию на устройствах под управлением Linux и MacOS.
  • Cobalt Strike - мы заметили, что в некоторых случаях этот легкодоступный фреймворк удаленного доступа использовался вместо CBeacon или GoBeacon.

Анализ нескольких образцов Windows выявил последовательное использование одних и тех же путей к базе данных программ (PDB), некоторые из которых содержали китайские символы, а другие ссылались на "sxiancheng", возможное название или китайскую локализацию. Кроме того, для взаимодействия с Windows RATs использовалась вторая инфраструктура C2, контролируемая агентами, которая размещалась на интернет-сервисах китайских организаций, а именно: Yuque компании Alibaba и Tencent. Учитывая возраст первого наблюдаемого образца маршрутизатора, который был впервые отправлен на VirusTotal в декабре 2020 года, а также выборку из телеметрии Black Lotus Labs за период в девять месяцев, эта многолетняя кампания затронула по меньшей мере 80 целей, а возможно, и гораздо больше.

Во время расследования активности ZuoRAT наблюдалась телеметрия, указывающую на заражение от многих производителей SOHO-маршрутизаторов, включая ASUS, Cisco, DrayTek и NETGEAR. ТАк же удалось получить сценарий эксплойта только для маршрутизаторов модели JCG-Q20. В этом случае злоумышленник использовал известные CVE (CVE-2020-26878 и CVE-2020-26879) с помощью скомпилированного на Python портативного исполняемого файла (PE) для Windows, который ссылался на пример концепции под названием ruckus151021.py. Целью сценария было получение учетных данных и загрузка ZuoRAT.

Согласно данным Shodan, модель JCG-Q20 была замечена только при подключении к китайским IP-адресам. IP-адреса C2 и хоста, связанные с эксплойтом, также были расположены в Китае, а потенциальная цель - Гонконг. Впоследствии был обнаружен текстовый файл, загруженный на VirusTotal тем же автором, что и сценарий эксплойта, в котором перечислены многочисленные IP-адреса с обозначением "HK", предположительно означающим Гонконг.

Хотя злоумышленник модифицировал сценарий эксплойта для модели маршрутизатора JCG-Q20, основная логика осталась прежней: сценарий сначала выполнял инъекцию командной строки для получения аутентификационного материала, а затем использовал результаты инъекции команды для обхода аутентификации. Эта цепочка уязвимостей позволяла агенту загрузить двоичный файл, а затем выполнить его на хосте. Обнаруженный нами скрипт содержал четыре функции:

Система агентов ZuoRAT позволяет проводить глубокую разведку целевых сетей, собирать трафик и перехватывать сетевые коммуникации. Его можно разделить на два компонента: первый включал функции, которые автоматически запускались при выполнении файла. Второй компонент состоял из функций, которые были встроены в файл, но не вызывались явно. По нашим оценкам, эти функции были предназначены для вызова дополнительными командами. ZuoRAT, по-видимому, является сильно модифицированной версией вредоносной программы Mirai.

Indicators of Compromise

IPv4

  • 103.140.187.131
  • 202.178.11.78
  • 101.99.91.10

URLs

  • https://service-1onwbsn4-1253943544.gz.apigw.tencentcs.com
  • http://82.157.69.219:443/api
  • 110.42.185.232:8081/kGZQ
  • 141.98.212.62/asdfa.a

SHA256

  • 7430b74cb4a374c0acbed1caf76cfe103d7b7861250b413602196d8dea00860f
  • 9232382eebcb17f65fc1bfc4ae68b2bfe80ebacf9f962f4de650e9590910d04e
  • 2f4359f91a92fa56d4aa0940ecb928042e20787b660c95e853e944ba92b02f17
  • 3230ab2a8cd28ef9f463fabfb879df4ea00447605b18488d64e6fc12850371fc
  • e5063f5d97defb7e9f544ef77024650201c43e37364068ddbc05f299b42a3d5e
  • 938bfd8179aa43ab80753d96c2ec0e6cfdc728715e03bbb3b315f95b94bf8bc3
  • 7d6cc68a317038eaf1a5a7b29e78ec520cac24a26980759dee036a46be4b7c3d
  • f9ca9a1b01f511eba0224fddb760886d8f5339bd5d4afcc6440525ec6ea90fd4
  • dfe1135dfcf06e4b906a97a9720dc83e41d3f1c80e93c637b94ffec927acae05
  • 2918ebcbf06f5816d68ababd97c249ba3cf79d4bfab199761d6cfa40c10c1d60
  • e29626e9cf755cc084adf9c08b0f6fd5750d86f5cfe580ca971c29c0110f590e
  • a56e10f3a5be1ebd6716baa42699615fdc7270ce2986a1e79d041b7f44a2b71b
  • bf34ad9b62472761393ac2de942dd95db8869d6996701cbefeb1f1b96ca18ac1
  • 31ce9fd09c2a889fc9caf4309b0f6c8f45d9d7a7bf2d5fabdc988f478ef2d03e
  • 71d0de00734ef06e0f528f3ef328d965788d2e312b767c0b0c8435ab7b8cfc10
  • ec059aaf18aca6da530e94c7e2d32f425007850b9054c3d204a2e842e36819f0
  • daaa12fb1dd3b637dd0e73c225e4ca55b47f2eddfda2fc0345a3fd2232276da9
  • 1cbb9ed1b3be4a06ed0497aba34bdbb05b52f663502dce097d147b26ae84cff2
  • bf34ad9b62472761393ac2de942dd95db8869d6996701cbefeb1f1b96ca18ac1
  • c2c6e542809952450c5ef0e47db354238e38c25ac8b0240f2b5e89616f899f0a
  • 2f7ab4f79c6c0c2095d1964c414eb28c6e9513d6cfd1c01455c0c373d081290d
  • 7430b74cb4a374c0acbed1caf76cfe103d7b7861250b413602196d8dea00860f
  • 9232382eebcb17f65fc1bfc4ae68b2bfe80ebacf9f962f4de650e9590910d04e
  • a56e10f3a5be1ebd6716baa42699615fdc7270ce2986a1e79d041b7f44a2b71b
  • c2c6e542809952450c5ef0e47db354238e38c25ac8b0240f2b5e89616f899f0a
  • c61b4b5c9f2e3d57c7b6f7471c9b869aa7a7c8d6e3b50c49ab51b09105e32340
SEC-1275-1
Добавить комментарий