Détection de Malware ZuoRAT
Table des matières :
Un cheval de Troie d’accès à distance (RAT) furtif surnommé ZuoRAT a compromis une cible relativement facile – les routeurs de petits bureaux/bureaux à domicile (SOHO). Le malware est utilisé depuis 2020, affectant principalement les travailleurs à distance basés aux États-Unis et en Europe occidentale ayant accès à des réseaux d’entreprise. Les chercheurs avertissent que les tactiques, techniques et procédures (TTPs) observées indiquent un acteur menaçant élaboré menant la campagne, avec une forte probabilité d’être subventionné par l’État chinois.
Détecter le malware ZuoRAT
Pour détecter le malware ZuoRAT dans votre système, utilisez les règles Sigma suivantes fournies par les développeurs de SOC Prime Threat Bounty de premier plan Kaan Yeniyol and Osman Demir:
Accès initial possible par détournements ZuoRAT (via proxy)
Détournements suspects de malware ZuoRAT sur les routeurs SOHO (via file_event)
Ces règles de détection sont alignées avec le cadre MITRE ATT&CK® v.10, abordant les tactiques d’accès initial et de découverte représentées par les techniques d’exploitation d’application exposée (T1190) et de découverte de fichiers et de répertoires (T1083).
Le programme Threat Bounty de SOC Prime accueille les chasseurs de menaces expérimentés et aspirants pour partager leur contenu de détection basé sur Sigma en échange de coaching d’experts et de revenus réguliers.
Consultez les règles Sigma qui identifient les attaques ZuoRAT – le bouton Détecter & Chasser vous mènera à une vaste bibliothèque de règles dédiées adaptées à plus de 25 solutions SIEM, EDR et XDR. Le Explorer le contexte des menaces déverrouille les privilèges d’accès utilisateur enregistré à tous les professionnels SOC sans compte sur une plateforme de Détection en tant que Code.
bouton Détecter & Chasser Explorer le contexte des menaces
Analyse de la campagne ZuoRAT
La pandémie de COVID-19 a posé de nombreux problèmes aux praticiens de la sécurité. Un riche bassin de risques de sécurité induits par le travail à distance a augmenté régulièrement au cours des dernières années et est là pour rester. L’une des opérations récemment dévoilées exploitant les conditions du lieu de travail à distance est les attaques avec le cheval de Troie d’accès à distance en plusieurs étapes, ZuoRAT, une version modifiée du botnet Mirai, lancé sur les routeurs de fournisseurs tels que Cisco, ASUS, DrayTek et NETGEAR.
Les analystes de sécurité de Lumen’s Black Lotus Labs ont publié un rapport détaillant leurs recherches sur une campagne utilisant des routeurs SOHO compromis pour intercepter les données envoyées par l’appareil infecté et prendre le contrôle des communications dans tout le réseau afin d’accéder à d’autres appareils sur le LAN. Les adversaires se déplacent latéralement à travers le réseau compromis et déploient des charges malveillantes supplémentaires, telles que des balises Cobalt Strike, CBeacon et GoBeacon, obtenant la capacité d’exécuter n’importe quelle commande sur un appareil ciblé ou dans n’importe quel processus.
Les données de recherche suggèrent que les violations de sécurité avec cette forme de malware difficile ont commencé en 2020, au début de la première vague de restrictions liées à la pandémie et de l’augmentation rapide de la main-d’œuvre à distance. Pour rester indétectés, les opérateurs de malware ont utilisé la communication routeur-à-routeur et la rotation des proxies compromis.
L’augmentation du nombre et de la gravité des cyberattaques contre les travailleurs à distance dans le monde crée une surface d’attaque élargie, mettant en danger plus d’entreprises chaque jour. Pour préparer votre entreprise avec les meilleures pratiques de sécurité, inscrivez-vous à la plateforme SOC Prime.
