Rilevamento malware ZuoRAT

Un trojan ad accesso remoto (RAT) furtivo e difficile da rilevare, soprannominato ZuoRAT, ha compromesso un bersaglio relativamente facile – router per piccoli uffici/home office (SOHO). Il malware è in uso dal 2020, colpendo principalmente lavoratori remoti con sede negli Stati Uniti e nell’Europa occidentale con accesso a reti aziendali. I ricercatori avvertono che le tattiche, tecniche e procedure (TTP) osservate indicano un attore sofisticato che gestisce la campagna, con un’alta probabilità di essere sovvenzionato dallo stato cinese.

Rilevare il malware ZuoRAT

Per rilevare il malware ZuoRAT all’interno del tuo sistema, utilizza le seguenti regole Sigma fornite dai migliori sviluppatori di SOC Prime Threat Bounty Kaan Yeniyol and Osman Demir:

Possibile accesso iniziale tramite dirottamenti ZuoRAT (via proxy)

Dirottamenti sospetti del malware ZuoRAT nei router SOHO (via file_event)

Queste regole di rilevamento sono allineate con il framework MITRE ATT&CK® v.10, affrontando le tattiche di accesso iniziale e scoperta rappresentate dalle tecniche di Exploit Public-Facing Application (T1190) e File and Directory Discovery (T1083).

Programma Threat Bounty di SOC Prime accoglie sia cacciatori di minacce esperti che aspiranti per condividere i loro contenuti di rilevamento basati su Sigma in cambio di coaching esperto e guadagno costante.

Verifica le regole Sigma che identificano gli attacchi ZuoRAT – il pulsante Detect & Hunt ti porterà a una vasta libreria di regole dedicate adattate per soluzioni SIEM, EDR e XDR. Il pulsante Esplora il contesto delle minacce sblocca i privilegi degli utenti registrati per accedere a tutti i professionisti SOC senza un account su una piattaforma Detection as Code.

Detect & Hunt Esplora il contesto delle minacce

Analisi della campagna ZuoRAT

La pandemia di COVID-19 ha posto molte questioni ai professionisti della sicurezza. Un ricco pool di rischi per la sicurezza indotti dal lavoro remoto è in continuo aumento da alcuni anni ed è destinato a rimanere. Una delle operazioni recentemente divulgate che sfrutta le condizioni del luogo di lavoro remoto sono gli attacchi con il trojan ad accesso remoto multistadio ZuoRAT, una versione modificata del botnet Mirai, lanciato sui router di fornitori come Cisco, ASUS, DrayTek e NETGEAR.

Gli analisti di sicurezza di Lumen’s Black Lotus Labs hanno pubblicato un report dettagliando la loro ricerca su una campagna che utilizza router SOHO compromessi per intercettare i dati inviati dal dispositivo infetto e assumere il controllo delle comunicazioni in tutta la rete al fine di ottenere accesso ad altri dispositivi sulla LAN. Gli avversari si spostano lateralmente attraverso la rete compromessa e distribuiscono payload malevoli aggiuntivi, come i beacon Cobalt Strike, CBeacon e GoBeacon, ottenendo la capacità di eseguire qualsiasi comando su un dispositivo mirato o in qualsiasi processo.

I dati della ricerca suggeriscono che le violazioni della sicurezza con questa forma di malware impegnativa sono iniziate nel 2020, all’inizio della prima ondata di restrizioni legate alla pandemia e dell’aumento rapido della forza lavoro remota. Per rimanere non rilevati, gli operatori del malware hanno impiegato la comunicazione router-to-router e la rotazione dei proxy compromessi.

L’aumento del numero e della gravità degli attacchi informatici ai lavoratori remoti in tutto il mondo crea una superficie d’attacco ampliata, mettendo ogni giorno a rischio più aziende. Per dotare la tua azienda delle migliori pratiche di sicurezza, registrati per il SOC Prime Platform.