ผู้โจมตีแทรกซึมเข้าไปในเราเตอร์เพื่อควบคุมอุปกรณ์ที่เชื่อมต่อ

ผู้โจมตีแทรกซึมเข้าไปในเราเตอร์เพื่อควบคุมอุปกรณ์ที่เชื่อมต่อ

ผู้คุกคามที่ไม่รู้จักกำลังกำหนดเป้าหมายเราเตอร์ (เปิดในแท็บใหม่) ด้วย Remote Access Trojans (RAT) เพื่อพยายามจี้ทราฟฟิก รวบรวมข้อมูลที่สำคัญ และทำให้อุปกรณ์ที่เชื่อมต่อประนีประนอม

สิ่งนี้เป็นไปตาม Black Lotus Lab แผนกข่าวกรองภัยคุกคามของ Lumen Technologies ซึ่งเพิ่งสังเกตเห็นการโจมตีจริงโดยใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า ZuoRAT

ZuoRAT เป็นโทรจันการเข้าถึงระยะไกลหลายระดับที่พัฒนาขึ้นสำหรับเราเตอร์ SOHO (สำนักงานขนาดเล็ก/โฮมออฟฟิศ) โดยเฉพาะ นักวิจัยระบุว่ามีการใช้งานมาประมาณสองปีแล้ว โดยตั้งเป้าไปที่บริษัทต่างๆ ในอเมริกาเหนือและยุโรป

มัลแวร์ใช้ช่องโหว่ที่รู้จักเพื่อให้ผู้โจมตีสามารถเข้าถึงเราเตอร์ได้ เมื่อรวมเข้าด้วยกันแล้ว พวกเขาสามารถปรับใช้ RAT ที่กำหนดเองเพิ่มเติมสองรายการกับอุปกรณ์เป้าหมายได้

RAT เพิ่มเติมช่วยให้แฮกเกอร์สามารถอัปโหลดและดาวน์โหลดไฟล์ รันคำสั่ง และคงอยู่ในเวิร์กสเตชัน มีการเพิ่มฟังก์ชันการทำงานข้ามแพลตฟอร์ม

Black Lotus Labs ยังพบเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แยกกันสองเครื่อง หนึ่งได้รับการออกแบบมาสำหรับเวิร์กสเตชันที่กำหนดเองของ RAT และใช้ประโยชน์จากบริการของบุคคลที่สามในจีน อันที่สองถูกออกแบบมาสำหรับเราเตอร์

แคมเปญที่เป็นอันตรายนี้เริ่มต้นในช่วงเวลาเดียวกับการระบาดใหญ่ และนักวิจัยเชื่อว่าทั้งสองมีความเกี่ยวข้องกัน เมื่อบริษัทเปลี่ยนไปทำงานทางไกล พนักงานก็เริ่มเข้าถึงเครือข่ายขององค์กรจากที่บ้าน ซึ่งทำให้ปัจจัยเสี่ยงเพิ่มขึ้น

ผู้โจมตีมองว่านี่เป็นโอกาส โดยพยายามใช้ประโยชน์จากอุปกรณ์ในบ้านเช่นเราเตอร์เพื่อจุดประสงค์ที่ชั่วร้าย

"Las campañas de malware en los enrutadores representan una seria amenaza para las organizaciones porque los enrutadores existen fuera del perímetro de seguridad convencional y, a menudo, pueden tener debilidades que hacen que el compromiso sea relativamente fácil de lograr", dijo Mark Dehus, Director de Threat Intelligence de Lumen Black Lotus Labs.

"En esta campaña, observamos la capacidad de un actor malicioso para explotar los enrutadores SOHO, acceder de forma encubierta y modificar el tráfico de Internet de maneras que son difíciles de detectar y afianzarse en la red comprometida".