ZuoRAT Kötü Amaçlı Yazılım Nedir?

ZuoRAT, küçük ofis/ev ofis yönlendiricilerine saldırmak için tasarlanmış yeni bir kötü amaçlı yazılımdır. Bu kötü amaçlı yazılım özellikle tehlikelidir çünkü saldırganların LAN üzerindeki cihazlara ve yönlendiriciden geçen herhangi bir veriye erişmesine izin verebilir.

ZuoRAT kötü amaçlı yazılımı nedir?

ZuoRAT kötü amaçlı yazılımı , küçük ofis ve ev ofis yönlendiricilerini (SOHO yönlendiricileri) hedefleyen bir Uzaktan Erişim Truva Atı’dır (RAT). ZuoRAT kötü amaçlı yazılımının kodu, Mirai botnet’in (2016’da ortaya çıkan) oldukça değiştirilmiş bir sürümüdür. 29 Haziran 2022’de Black Lotus Labs (Lumen Technologies’in bir parçası) araştırmacıları, Cisco, Netgear vb. şirketlerin çeşitli SOHO yönlendiricilerinde (ağırlıklı olarak Kuzey Amerika ve Avrupa ağlarında) bu kötü amaçlı yazılımın varlığını ortaya çıkardı. 

Araştırmacılar bu Truva Atı’na “sol” anlamına gelen Çince terimin adını verdiler. İsimlendirme, saldırganların kullandığı dosya adına borçludur, “asdf.a.” Araştırmacılara göre, bu isim “Sol el ev tuşlarının klavyeyle yürümesi” anlamına geliyor.

SOHO yönlendiricileri nelerdir?

SOHO, küçük ofis/ev ofis anlamına gelir. Bunlar ev ofis veya küçük ofis amaçları için tasarlanmış özel yönlendirici kategorileridir. Verileri esas olarak bir Yerel Alan Ağı (LAN) bağlantısından başka bir ağ bağlantısına (genellikle LAN’dan daha büyük) yönlendirirler. Ev geniş bant yönlendiricileriyle aynı işlevleri karşılarlar.

ZuoRAT Malware ağ sistemlerini nasıl etkiler?

Araştırmacılara göre, bu yeni çok aşamalı kötü amaçlı yazılım, Nisan 2020’den bu yana etkin durumda. ZuoRAT kötü amaçlı yazılımı, Cisco, ASUS, DrayTek ve NETGEAR gibi çeşitli üreticilerin ve satıcıların bilinen güvenlik açıklarından yararlanıyor. 

Bu kötü amaçlı yazılımı kullanan tehdit aktörleri, virüslü yönlendiricilerden gelen veri paketlerinden hassas bilgileri çalarak yama uygulanmamış güvenlik açıklarından yararlandı. Bu güvenlik açıkları ve tehditler için yamalar mevcut olsa da, pek çok SOHO kuruluşu bunları uygulamadı.

ZuoRAT, yerel LAN’a hileli bir şekilde erişir ve SOHO yönlendiricileri aracılığıyla iletilen veri paketlerini alır. Ardından HTTPS ve DNS’yi ele geçirerek bir ortadaki adam saldırısı başlatır. Lumen Technologies araştırmacıları (bu blog aracılığıyla ), bu RAT’lerin yalnızca SOHO cihazlarını atlamadığını söyledi. “Bu iki tekniğin kullanılması, bir tehdit aktörü tarafından uyumlu bir şekilde yüksek düzeyde gelişmişlik gösterdi ve bu kampanyanın muhtemelen devlet destekli bir kuruluş tarafından gerçekleştirildiğini gösteriyor” diye spekülasyon yaptılar.

Araştırmacılar, ZuoRAT’ın farkındalık eksikliği nedeniyle yayıldığını söyledi. Onlara göre saldırganlar, uzak Truva atı programlarıyla iletişim kurmak için komut ve kontrol (C&C) tekniğini kullanıyor. Black Lotus Labs  araştırmacılarına göre , “ Güvensizliği önlemek için, iyi huylu içeriği barındıran özel bir sanal özel sunucudan (VPS) ilk istismarı geçtiler. Ardından, yönlendiricileri yönlendiriciden yönlendiriciye gizlenen proxy C2’ler olarak kullandılar. Algılamayı daha da önlemek için yönlendirici iletişimi ve son olarak, algılamayı önlemek için proxy yönlendiricileri periyodik olarak döndürürler” dediler.

Araştırmacılar, bu RAT‘ın çok aşamalı bir virüs olduğunun da altını çizdi. İlk istismar aşaması, saldırganların virüslü cihaz ve bağlı olduğu LAN hakkında bilgi toplamasına yardımcı olur.

Bir sonraki aşamada, ZuoRAT kötü amaçlı yazılımı bu ağa giden ve giden veri paketlerini yakaladı. 

Saldırgan, komut ve kontrol (C&C) kullanarak kötü amaçlı yazılımı yönetme gücünü alır. Bu uzaktan erişilebilirlikten saldırganlar, kötü amaçlı yazılım aracılığıyla yönlendiriciye yardımcı komutlar gönderebilir. Tehdit aktörü, virüslü yönlendiriciye ek modüller yüklemeyi veya indirmeyi seçebilir. 

Araştırmacılar, “USB numaralandırmadan parola püskürtme ve kod yerleştirmeye kadar uzanan modülleri içeren (yaklaşık) 2.500 gömülü işlevi gözlemledik” diye yazdı. Ayrıca faaliyetlerini algılamadan gizleyebilir.