Вирус ZuoRAT атакует ПК пользователей через популярные модели роутеров

Никогда ранее не встречавшийся троян удаленного доступа, получивший название ZuoRAT, может атаковать маршрутизаторы для малых и домашних офисов (SOHO) в рамках сложной кампании, нацеленной на сети Северной Америки и Европы.

«Вредоносное ПО даёт злоумышленнику возможность проникнуть в локальную сеть и получить доступ к дополнительным системам в локальной сети путём перехвата сетевых коммуникаций, чтобы оставаться незамеченным», – заявили исследователи из Lumen Black Lotus Labs в отчете, опубликованном The Hacker News.

Считается, что скрытая операция, нацеленная на маршрутизаторы ASUS, Cisco, DrayTek и NETGEAR, началась в начале 2020 года, в первые месяцы пандемии COVID-19, и фактически оставалась незамеченной более двух лет.

«Потребители и удалённые сотрудники регулярно используют маршрутизаторы SOHO, но эти устройства редко отслеживаются или исправляются, что делает их одним из самых слабых мест сетевого периметра», – заявила группа по анализу угроз компании.

Первоначальный доступ к маршрутизаторам получается путем сканирования известных неисправленных уязвимостей для загрузки инструмента удаленного доступа, использования его для получения доступа к сети и сброса загрузчика шелл-кода следующего этапа, который используется для доставки Cobalt Strike и пользовательских бэкдоров, таких как CBeacon и GoBeacon, способных выполнять произвольные команды.

Помимо возможности углублённой разведки целевых сетей, сбора трафика и перехвата сетевых коммуникаций, вредоносное ПО было описано как сильно модифицированная версия ботнета Mirai, исходный код которого просочился ещё в октябре 2016 года.