Ein noch nie dagewesener Fernzugriffstrojaner mit dem Namen ZuoRAT hat im Rahmen einer ausgeklügelten Kampagne, die auf nordamerikanische und europäische Netzwerke abzielt, Router für kleine Büros und Heimbüros (SOHO) ins Visier genommen.
Die Malware „gibt dem Akteur die Möglichkeit, sich in das lokale Netzwerk einzuschleusen und auf weitere Systeme im LAN zuzugreifen, indem er die Netzwerkkommunikation kapert, um unentdeckt zu bleiben“, so die Forscher von Lumen Black Lotus Labs in einem Bericht an The Hacker News.
Es wird angenommen, dass die heimliche Operation, die auf Router von ASUS, Cisco, DrayTek und NETGEAR abzielte, Anfang 2020 in den ersten Monaten der COVID-19-Pandemie begann und über zwei Jahre lang unbemerkt blieb.
„Verbraucher und Außendienstmitarbeiter nutzen routinemäßig SOHO-Router, aber diese Geräte werden selten überwacht oder gepatcht, was sie zu einem der schwächsten Punkte in einem Netzwerk macht“, so das Threat Intelligence Team des Unternehmens.
Der erste Zugriff auf die Router erfolgt durch das Scannen nach bekannten, ungepatchten Schwachstellen, um das Fernzugriffstool zu laden, mit dem es sich Zugang zum Netzwerk verschafft und einen Shellcode-Loader der nächsten Stufe ablegt, der Cobalt Strike und benutzerdefinierte Backdoors wie CBeacon und GoBeacon ausliefert, die beliebige Befehle ausführen können.
Die Malware ermöglicht nicht nur eine gründliche Erkundung von Zielnetzwerken, das Sammeln von Datenverkehr und die Entführung von Netzwerkkommunikation, sondern wird auch als stark modifizierte Version des Mirai-Botnetzes beschrieben, dessen Quellcode im Oktober 2016 durchsickerte.
„ZuoRAT ist eine MIPS-Datei, die für SOHO-Router kompiliert wurde. Sie kann einen Host und das interne LAN auflisten, Pakete abfangen, die über das infizierte Gerät übertragen werden, und Person-in-the-Middle-Angriffe (DNS- und HTTPS-Hijacking nach vordefinierten Regeln) durchführen“, so die Forscher.
Außerdem gibt es eine Funktion zum Abfangen von TCP-Verbindungen über die Ports 21 und 8443, die mit FTP und Webbrowsing verbunden sind, so dass der Angreifer die Internetaktivitäten der Nutzer hinter dem kompromittierten Router überwachen kann.
Andere Funktionen von ZuoRAT erlauben es den Angreifern, den DNS- und HTTPS-Verkehr zu überwachen, um die Anfragen zu kapern und die Opfer auf bösartige Domains umzuleiten. Dazu werden voreingestellte Regeln erstellt und in temporären Verzeichnissen gespeichert, um einer forensischen Analyse zu entgehen.
Das ist nicht der einzige Schritt, den die Hacker unternommen haben, um ihre Aktivitäten zu verschleiern, denn die Angriffe beruhen auf einer verschleierten, mehrstufigen C2-Infrastruktur, bei der ein virtueller privater Server verwendet wird, um den ersten RAT-Exploit zu platzieren, und die kompromittierten Router selbst als Proxy-C2-Server genutzt werden.
Um einer Entdeckung zu entgehen, wurden auf dem Staging-Server scheinbar harmlose Inhalte gehostet. In einem Fall wurde eine Website mit dem Namen „muhsinlar.net“ imitiert, ein Propagandaportal für die Turkestan Islamic Party (TIP), eine uigurische Extremistengruppe mit Ursprung in China.
Die Identität des gegnerischen Kollektivs, das hinter der Kampagne steht, ist noch nicht bekannt, obwohl eine Analyse der Artefakte mögliche Hinweise auf die chinesische Provinz Xiancheng und die Nutzung von Yuque und Tencent von Alibaba für Command-and-Control (C2) ergeben hat.
Die ausgeklügelte und ausweichende Art der Operation und die Taktiken, die bei den Angriffen angewandt wurden, um verdeckt zu bleiben, deuten laut Black Lotus Labs auf mögliche Aktivitäten von Nationalstaaten hin.
„Die Fähigkeiten, die in dieser Kampagne demonstriert wurden – Zugang zu SOHO-Geräten verschiedener Marken und Modelle, Sammeln von Host- und LAN-Informationen, um Informationen über das Ziel zu erhalten, Abfangen und Entführen von Netzwerkkommunikation, um potenziell dauerhaften Zugang zu Geräten im Inland zu erhalten, und eine absichtlich getarnte C2-Infrastruktur, die eine mehrstufige Silo-Router-zu-Router-Kommunikation nutzt – deuten auf einen hochentwickelten Akteur hin“, so die Forscher.