Erkennung von ZuoRAT-Malware
Inhaltsverzeichnis:
Ein unauffälliger, aufkonformer Remote Access Trojaner (RAT) mit dem Namen ZuoRAT hat ein relativ leichtes Ziel kompromittiert – kleine Büro-/Homeoffice-Router (SOHO). Die Malware ist seit 2020 im Einsatz und betrifft hauptsächlich Remote-Arbeiter in den USA und Westeuropa mit Zugang zu Unternehmensnetzwerken. Forscher warnen, dass die beobachteten Taktiken, Techniken und Verfahren (TTPs) auf einen elaborierten Bedrohungsakteur hinweisen, der die Kampagne betreibt, mit hoher Wahrscheinlichkeit staatlich subventioniert von China.
Erkennen Sie die ZuoRAT-Malware
Um die ZuoRAT-Malware in Ihrem System zu erkennen, verwenden Sie die folgenden Sigma-Regeln, die von den erstklassigen SOC Prime Threat Bounty Entwicklern bereitgestellt werden Kaan Yeniyol and Osman Demir:
Möglicher Erstzugang durch ZuoRAT-Hijacks (über Proxy)
Verdächtige ZuoRAT-Malware übernimmt SOHO-Router (über file_event)
Diese Erkennungsregeln sind abgestimmt auf das MITRE ATT&CK®-Framework v.10, das die Taktiken Initial Access und Discovery abdeckt, dargestellt durch die Techniken Exploit Public-Facing Application (T1190) und File and Directory Discovery (T1083).
SOC Prime’s Threat Bounty Program begrüßt sowohl erfahrene als auch angehende Bedrohungsjäger, die ihre auf Sigma basierten Erkennungsinhalte im Austausch für Experten-Coaching und stetiges Einkommen teilen möchten.
Schauen Sie sich die Sigma-Regeln an, die ZuoRAT-Angriffe identifizieren – die Detect & Hunt Schaltfläche führt Sie zu einer umfangreichen Bibliothek spezieller Regeln, die auf mehr als 25 SIEM-, EDR- und XDR-Lösungen zugeschnitten sind. Die Explore Threat Context Schaltfläche öffnet die Privilegien des Zugangs registrierter Nutzer für alle SOC-Profis ohne Konto auf einer Detection as Code-Plattform.
Detect & Hunt Explore Threat Context
Analyse der ZuoRAT-Kampagne
Die COVID-19-Pandemie stellte für Sicherheitsexperten viele Probleme dar. Ein umfangreicher Pool von Sicherheitsrisiken durch Remote-Arbeit nimmt seit einigen Jahren stetig zu und wird bleiben. Eine der kürzlich aufgedeckten Operationen, die die Bedingungen des Remote-Arbeitsplatzes ausnutzt, sind die Angriffe mit dem mehrstufigen Remote Access Trojaner ZuoRAT, einer modifizierten Version des Mirai-Botnetzes, das auf den Routern von Anbietern wie Cisco, ASUS, DrayTek und NETGEAR gestartet wurde.
Sicherheitsanalysten von den Lumen’s Black Lotus Labs veröffentlichten einen Bericht, der ihre Forschung zu einer Kampagne beschreibt, die kompromittierte SOHO-Router verwendet, um Daten abzufangen, die vom infizierten Gerät gesendet werden, und die Kommunikation im gesamten Netzwerk zu übernehmen, um Zugriff auf andere Geräte im LAN zu erhalten. Gegner bewegen sich lateral durch das kompromittierte Netzwerk und setzen zusätzliche bösartige Nutzlasten ein, wie Cobalt Strike Beacons, CBeacon und GoBeacon, wodurch sie die Fähigkeit erlangen, beliebige Befehle auf einem Zielgerät oder in einem beliebigen Prozess auszuführen.
Die Forschungsdaten legen nahe, dass Sicherheitsverletzungen mit dieser herausfordernden Form von Malware bereits 2020 begannen, ungefähr zu Beginn der ersten Welle von pandemiebedingten Einschränkungen und der raschen Zunahme der Remote-Arbeitskräfte. Um unentdeckt zu bleiben, setzten die Malware-Betreiber auf Router-zu-Router-Kommunikation und die Rotation kompromittierter Proxies.
Der Anstieg der Zahl und Schwere von Cyberangriffen auf Remote-Arbeiter weltweit schafft eine erweiterte Angriffsfläche und gefährdet täglich mehr Unternehmen. Um Ihr Unternehmen mit den besten Sicherheitspraktiken auszustatten, registrieren Sie sich für die SOC Prime Plattform.
