Detección de Malware ZuoRAT
Tabla de contenidos:
Un troyano de acceso remoto (RAT) llamado ZuoRAT, que se mueve sigilosamente bajo el radar, ha estado comprometiendo un objetivo relativamente fácil: los routers de pequeñas oficinas/hogares (SOHO). El malware se ha estado utilizando desde 2020, afectando principalmente a trabajadores remotos en los EE.UU. y Europa Occidental con acceso a redes corporativas. Los investigadores advierten que las tácticas, técnicas y procedimientos (TTPs) observados apuntan a un actor de amenaza elaborado dirigiendo la campaña, con una alta probabilidad de estar subvencionado por el estado de China.
Detectar Malware ZuoRAT
Para detectar el malware ZuoRAT dentro de su sistema, utilice las siguientes reglas Sigma proporcionadas por los desarrolladores de la elite SOC Prime Threat Bounty Kaan Yeniyol and Osman Demir:
Posible Acceso Inicial por Secuestros de ZuoRAT (vía proxy)
Secuestro Sospechoso de Routers SOHO por Malware ZuoRAT (vía file_event)
Estas reglas de detección están alineadas con el marco MITRE ATT&CK® v.10, abordando las tácticas de Acceso Inicial y Descubrimiento representadas por las técnicas Explotar Aplicación de Cara Pública (T1190) y Descubrimiento de Archivos y Directorios (T1083).
Programa de Recompensa de Amenazas de SOC Prime da la bienvenida tanto a cazadores de amenazas experimentados como a principiantes para compartir su contenido de detección basado en Sigma a cambio de entrenamiento experto e ingresos estables.
Consulte las reglas Sigma que identifican los ataques de ZuoRAT: el botón Detectar & Cazar lo llevará a una amplia biblioteca de reglas dedicadas adaptadas para más de 25 soluciones SIEM, EDR y XDR. El Explorar Contexto de Amenazas desbloquea los privilegios de acceso de usuario registrado a todos los profesionales SOC sin una cuenta en una plataforma de Detección como Código.
botón Detectar & Cazar Explorar Contexto de Amenazas
Análisis de la Campaña ZuoRAT
La pandemia del COVID-19 planteó muchos problemas para los practicantes de seguridad. Un rico conjunto de riesgos de seguridad inducidos por el trabajo remoto ha estado aumentando constantemente en los últimos años y llegó para quedarse. Una de las operaciones recientemente divulgadas que aprovechan las condiciones del lugar de trabajo remoto son los ataques con el troyano de acceso remoto de múltiples etapas ZuoRAT, una versión modificada del botnet Mirai, lanzado en los routers de proveedores como Cisco, ASUS, DrayTek y NETGEAR.
Analistas de seguridad de Lumen’s Black Lotus Labs publicaron un informe detallando su investigación sobre una campaña que utiliza routers SOHO comprometidos para interceptar datos enviados por el dispositivo infectado y tomar el control de las comunicaciones a lo largo de la red para obtener acceso a otros dispositivos en la LAN. Los adversarios se mueven lateralmente a través de la red comprometida y despliegan cargas maliciosas adicionales, tales como balizas Cobalt Strike, CBeacon y GoBeacon, logrando la capacidad de ejecutar cualquier comando en un dispositivo objetivo o en cualquier proceso.
Los datos de la investigación sugieren que las violaciones de seguridad con esta forma desafiadora de malware comenzaron en 2020, alrededor del comienzo de la primera ola de restricciones relacionadas con la pandemia y el rápido incremento de la fuerza laboral remota. Para permanecer sin ser detectados, los operadores de malware emplearon comunicación de router a router y la rotación de proxies comprometidos.
El aumento en el número y la gravedad de los ciberataques a trabajadores remotos en todo el mundo crea una superficie de ataque ampliada, poniendo en riesgo más negocios cada día. Para equipar a su empresa con las mejores prácticas de seguridad, regístrese en la Plataforma SOC Prime.
