Casi todos los enrutadores Wi Fi son vulnerables a los ataques

Un acteur malveillant inconnu cible les routeurs (ouvre un nouvel onglet) avec des chevaux de Troie d'accès à distance (RAT), dans le but de détourner le trafic, de collecter des données sensibles et de compromettre les appareils connectés.

Selon Black Lotus Lab, la division de renseignement sur les menaces de Lumen Technologies, qui a récemment observé de véritables attaques exploitant une nouvelle souche de malware, appelée ZuoRAT.

ZuoRAT est un cheval de Troie d'accès à distance à plusieurs niveaux développé exclusivement pour les routeurs SOHO (Small Office/Home Office). Il est utilisé depuis environ deux ans, selon les chercheurs, ciblant des entreprises d'Amérique du Nord et d'Europe.

Le logiciel malveillant exploite des vulnérabilités connues pour fournir aux attaquants un accès aux routeurs. Une fois intégrés, ils peuvent déployer deux RAT personnalisés supplémentaires sur les appareils cibles.

Des RAT supplémentaires permettent aux pirates de charger et de télécharger des fichiers, d'exécuter des commandes et de rester sur le poste de travail. L'un d'eux a une fonctionnalité multiplateforme, il a été ajouté.

Black Lotus Labs a également trouvé deux serveurs de commande et de contrôle (C2) distincts. L'un est conçu pour le poste de travail personnalisé RAT et tire parti des services tiers chinois. Le second a été conçu pour les routeurs.

Cette campagne malveillante a commencé à peu près au même moment que la pandémie, et les chercheurs pensent que les deux sont liés. Alors que les entreprises passaient au travail à distance, les employés ont commencé à accéder aux réseaux d'entreprise depuis leur domicile, ce qui a augmenté le facteur de risque.

Les attaquants ont vu cela comme une opportunité, essayant de tirer parti des appareils domestiques comme les routeurs à leurs fins néfastes.

"Les campagnes de logiciels malveillants sur les routeurs constituent une menace sérieuse pour les organisations car les routeurs existent en dehors du périmètre de sécurité conventionnel et peuvent souvent avoir des faiblesses qui rendent le compromis relativement facile à réaliser", a déclaré Mark Dehus, directeur Threat Intelligence de Lumen Black Lotus Labs.

"Dans cette campagne, nous avons examiné la capacité d'un acteur malveillant à exploiter les routeurs SOHO, à accéder secrètement et à modifier le trafic Internet de manière difficile à détecter et à prendre pied dans le réseau compromis."

Share