Дослідники вважають, що ZuoRAT, який стежить за маршрутизаторами, швидше за все, справа рук деяких урядових хакерів
Незвичайно просунута хакерська група витратила майже два роки, заражаючи широкий спектр маршрутизаторів у Північній Америці та Європі шкідливим програмним забезпеченням, яке отримує повний контроль над підключеними пристроями під управлінням Windows, macOS та Linux.
На даний момент дослідники з Black Lotus Labs компанії Lumen Technologies кажуть, що виявили не менше 80 цілей, заражених прихованою шкідливою програмою, що заражає маршрутизатори Cisco, Netgear, Asus та DrayTek. Троянець віддаленого доступу, що отримав назву ZuoRAT, є частиною ширшої хакерської кампанії, яка існує щонайменше з четвертого кварталу 2020 року і продовжує діяти.
Початок цієї кампанії співпав із повсюдним переходом на віддалену роботу після початку пандемії COVID-19, що різко збільшило кількість маршрутизаторів (включаючи пристрої Asus, Cisco, DrayTek та NETGEAR), які використовуються співробітниками для віддаленого доступу до корпоративних мереж.
Виявлення спеціально створеного шкідливого програмного забезпечення, написаного для архітектури MIPS і скомпілюваного для маршрутизаторів малого та домашнього офісу, має велике значення, особливо з урахуванням його можливостей – здатності перераховувати всі пристрої, підключені до зараженого маршрутизатора, і збирати DNS-запити та мережевий трафік, які вони відправляють і одержують, і залишатися непоміченим.
Понад 100 млн гривень викрали кіберзлочинці в українців під виглядом виплат фіндопомоги
Початковий доступ до роутерів хакери отримували шляхом пошуку відомих невиправлених уразливостей, які застосовувалися для завантаження інструменту віддаленого доступу. Отримавши доступ до мережі, зловмисники доставляли жертві завантажувач шелл-коду для наступного етапу атаки, який вже застосовувався для доставки Cobalt Strike та кастомних бекдорів, включаючи CBeacon та GoBeacon, які були здатні виконувати довільні команди.
Дослідники відзначають, що, як і більшість малварі для маршрутизаторів, ZuoRAT не витримує перезавантаження. Простий перезапуск зараженого пристрою видаляє вихідний експлоїт ZuoRAT, що зберігається у тимчасовому каталозі. Однак для повного відновлення заражених дейвасів експерти радять здійснити скидання до заводських налаштувань. Також підкреслюється, що підключені до зламаного роутера пристрої можуть бути заражені вже іншим шкідливим програмним забезпеченням, і вилікувати їх так само просто не вийде.
Раніше ми писали про те, що робити, якщо випадково відкрили посилання з вірусом. Відкриття посилання з вірусом не означає, що всі збережені файли на комп’ютері обов’язково будуть втрачені. У більшості випадків можна вирішити проблему без втрати даних.
ЧИТАЙТЕ ТАКОЖ:
- Прослуховування та віддалений доступ: Google виявив в Італії небезпечний вірус, що вражає мобільні пристрої
- Українці на тимчасово окупованих територіях зможуть безкоштовно скористатися ClearVPN за допомогою програми «Дія»
- Техногіганти очолять боротьбу з дезінформацією в інтернеті