Detecção de Malware ZuoRAT
Índice:
Um trojan de acesso remoto (RAT) sorrateiro, que passa despercebido, chamado ZuoRAT, tem comprometido um alvo relativamente fácil – roteadores de pequenos escritórios/escritórios domésticos (SOHO). O malware está em uso desde 2020, afetando principalmente trabalhadores remotos baseados nos EUA e na Europa Ocidental com acesso a redes corporativas. Os pesquisadores alertam que as táticas, técnicas e procedimentos (TTPs) observados apontam para um ator de ameaça elaborado dirigindo a campanha, com alta probabilidade de ser subsidiado pelo estado chinês.
Detectar Malware ZuoRAT
Para detectar malware ZuoRAT em seu sistema, use as seguintes regras Sigma fornecidas pelos desenvolvedores especializados do SOC Prime Threat Bounty Kaan Yeniyol and Osman Demir:
Possível Acesso Inicial por Interceptações ZuoRAT (via proxy)
Interceptações Suspeitas de Malware ZuoRAT em Roteadores SOHO (via file_event)
Essas regras de detecção estão alinhadas com o framework MITRE ATT&CK® v.10, abordando as táticas de Acesso Inicial e Descoberta representadas pelas técnicas de Explorar Aplicação voltada ao Público (T1190) e Descoberta de Arquivos e Diretórios (T1083).
Programa de Recompensas de Ameaças da SOC Prime acolhe tanto caçadores de ameaças experientes quanto aspirantes a compartilhar seu conteúdo de detecção baseado em Sigma em troca de treinamento especializado e receita constante.
Confira as regras Sigma que identificam ataques ZuoRAT – o botão Detectar & Caçar levará você a uma biblioteca ampla de regras dedicadas, adaptadas para mais de 25 soluções SIEM, EDR e XDR. O Explorar Contexto de Ameaça desbloqueia os privilégios de acesso de usuário registrado para todos os profissionais SOC sem uma conta em uma plataforma Detection as Code.
botão Detectar & Caçar Explorar Contexto de Ameaça
Análise da Campanha ZuoRAT
A pandemia de COVID-19 trouxe muitos problemas para os profissionais de segurança. Um rico conjunto de riscos de segurança induzidos pelo trabalho remoto vem aumentando continuamente nos últimos anos e está aqui para ficar. Uma das operações recentemente divulgadas que aproveitam as condições do ambiente de trabalho remoto são os ataques com o trojan de acesso remoto multinível ZuoRAT, uma versão modificada do botnet Mirai, lançado em roteadores de fornecedores como Cisco, ASUS, DrayTek e NETGEAR.
Analistas de segurança do Lumen’s Black Lotus Labs lançaram um relatório detalhando suas pesquisas em uma campanha que utiliza roteadores SOHO comprometidos para interceptar dados enviados pelo dispositivo infectado e assumir as comunicações por toda a rede, a fim de ganhar acesso a outros dispositivos na LAN. Os adversários se movem lateralmente pela rede comprometida e implantam cargas maliciosas adicionais, como beacons Cobalt Strike, CBeacon e GoBeacon, conseguindo a capacidade de executar qualquer comando em um dispositivo alvo ou em qualquer processo.
Os dados de pesquisa sugerem que as violações de segurança com essa forma desafiadora de malware começaram em 2020, por volta do início da primeira onda de restrições relacionadas à pandemia e o rápido aumento da força de trabalho remota. Para permanecer indetectável, os operadores do malware empregaram comunicação de roteador para roteador e a rotação de proxies comprometidos.
O aumento no número e na gravidade dos ataques cibernéticos a trabalhadores remotos em todo o mundo cria uma superfície de ataque ampliada, colocando mais negócios em risco a cada dia. Para equipar sua empresa com as melhores práticas de segurança, registre-se na Plataforma SOC Prime.
