ผู้คุกคามที่ไม่รู้จักกำลังกำหนดเป้าหมายเราเตอร์ (เปิดในแท็บใหม่) ด้วย Remote Access Trojans (RAT) เพื่อพยายามจี้ทราฟฟิก รวบรวมข้อมูลที่สำคัญ และทำให้อุปกรณ์ที่เชื่อมต่อประนีประนอม
สิ่งนี้เป็นไปตาม Black Lotus Lab แผนกข่าวกรองภัยคุกคามของ Lumen Technologies ซึ่งเพิ่งสังเกตเห็นการโจมตีจริงโดยใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า ZuoRAT
ZuoRAT เป็นโทรจันการเข้าถึงระยะไกลหลายระดับที่พัฒนาขึ้นสำหรับเราเตอร์ SOHO (สำนักงานขนาดเล็ก/โฮมออฟฟิศ) โดยเฉพาะ นักวิจัยระบุว่ามีการใช้งานมาประมาณสองปีแล้ว โดยตั้งเป้าไปที่บริษัทต่างๆ ในอเมริกาเหนือและยุโรป
มัลแวร์ใช้ช่องโหว่ที่รู้จักเพื่อให้ผู้โจมตีสามารถเข้าถึงเราเตอร์ได้ เมื่อรวมเข้าด้วยกันแล้ว พวกเขาสามารถปรับใช้ RAT ที่กำหนดเองเพิ่มเติมสองรายการกับอุปกรณ์เป้าหมายได้
RAT เพิ่มเติมช่วยให้แฮกเกอร์สามารถอัปโหลดและดาวน์โหลดไฟล์ รันคำสั่ง และคงอยู่ในเวิร์กสเตชัน มีการเพิ่มฟังก์ชันการทำงานข้ามแพลตฟอร์ม
Black Lotus Labs ยังพบเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แยกกันสองเครื่อง หนึ่งได้รับการออกแบบมาสำหรับเวิร์กสเตชันที่กำหนดเองของ RAT และใช้ประโยชน์จากบริการของบุคคลที่สามในจีน อันที่สองถูกออกแบบมาสำหรับเราเตอร์
แคมเปญที่เป็นอันตรายนี้เริ่มต้นในช่วงเวลาเดียวกับการระบาดใหญ่ และนักวิจัยเชื่อว่าทั้งสองมีความเกี่ยวข้องกัน เมื่อบริษัทเปลี่ยนไปทำงานทางไกล พนักงานก็เริ่มเข้าถึงเครือข่ายขององค์กรจากที่บ้าน ซึ่งทำให้ปัจจัยเสี่ยงเพิ่มขึ้น
ผู้โจมตีมองว่านี่เป็นโอกาส โดยพยายามใช้ประโยชน์จากอุปกรณ์ในบ้านเช่นเราเตอร์เพื่อจุดประสงค์ที่ชั่วร้าย
“แคมเปญมัลแวร์บนเราเตอร์ก่อให้เกิดภัยคุกคามร้ายแรงต่อองค์กร เนื่องจากเราเตอร์มีอยู่นอกขอบเขตการรักษาความปลอดภัยแบบเดิมๆ และมักจะมีจุดอ่อนที่ทำให้การประนีประนอมทำได้ค่อนข้างง่าย” Mark Dehus ผู้อำนวยการฝ่าย Threat Intelligence จาก Lumen Black Lotus Labs กล่าว
"ในแคมเปญนี้ เราสังเกตเห็นความสามารถของผู้ไม่ประสงค์ดีในการใช้ประโยชน์จากเราเตอร์ SOHO เข้าถึงและแก้ไขการรับส่งข้อมูลอินเทอร์เน็ตอย่างซ่อนเร้นในลักษณะที่ยากต่อการตรวจจับและตั้งหลักในเครือข่ายที่ถูกบุกรุก"