Bu tür yönlendiriciler nadiren izlenir veya güncellenir, bu da bilgisayar korsanlarının bitişik kurumsal ağlara erişmesi için çekici hedefler haline getirir. Black Lotus Labs’e göre, bu sofistike kampanya “Ekim 2020’den başlayarak yaklaşık iki yıldır Kuzey Amerika ve Avrupa’da aktif durumda.”
Saldırılar DNS ve HTTP trafiğini ele geçirmek için SOHO yönlendiricilerindeki bilinen güvenlik açıklarından özel olarak yararlanan çok aşamalı bir uzaktan erişim Truva Atı (RAT) olan ZuoRAT’ı içeriyor. Amaç, yönlendiriciden hedeflenen ağdaki iş istasyonlarına, kalıcı ve algılanmayan iletişim kanalları (C2 sunucuları) kurmak için diğer RAT’lerin konuşlandırılacağı iş istasyonlarına dönmektir.
Devlet Destekli Hackler
Araştırmacılar muhtemelen devlet destekli bir grup tarafından gerçekleştirilen karmaşık bir işlemi yapan ZuoRAT, “bir ana bilgisayar ve dahili LAN’ı numaralandırmak, virüslü cihaz üzerinden iletilen paketleri yakalamak ve ortadaki kişi saldırıları gerçekleştirmek” için konuşlandırıldı. . Aşağıdaki Black Lotus Labs şeması kampanyaya genel bir bakış sunuyor:
Birden çok Windows örneğinde Çince karakterler ve “sxiancheng” referansları içeren kanıtlar bulundu. Windows RAT’lerle etkileşime giren C2 sunucuları, Alibaba’nın Yuque ve Tencent gibi Çin merkezli kuruluşların internet hizmetlerinde barındırıldı.
Araştırmacılar ZuoRAT’ın “Mirai kötü amaçlı yazılımının büyük ölçüde değiştirilmiş bir versiyonu” olduğuna inanıyor. Teknik ayrıntılara ve tespitten kaçınmak için kullanılan TTP’ye (taktikler, teknikler ve prosedürlere) bakılırsa, kampanya oldukça gelişmiş.
Tüm bu prosedürler ve birden fazla ülkede proxy sunucularının kullanımı bir labirent gibi görünebilir, ancak araştırmacılar bilgisayar korsanlarının bunu bilerek izlerini gizlemek için oluşturduğuna inanıyor.
Her zaman aynı süreç: Saldırganlar ilk erişim elde etmek için kolay av ararlar. APT grupları genellikle gizliliğe odaklanır, bu da genellikle güvenliği ihlal edilmiş yönlendiricileri içerir.
