NETGEAR、ASUS、Cisco、DrayTekのルーター使ってるやつ。今すぐ工場出荷時に初期化しろ [279771991]

NETGEAR、ASUS、Cisco、DrayTekのルーター使ってるやつ。今すぐ工場出荷時に初期化しろ [279771991] at NEWS

1:ジャガーネコ(東京都) [CH]
22/07/02 10:50:12 AvZvuqED0.net BE:279771991-2BP
sssp://img.5ch.net/ico/tarako2.gif
CDN企業・Lumen Technologiesの脅威情報部門であるBlack Lotus Labsの研究者が、新型コロナウイルスの流行時にリモートワーカーが急増したことを狙い、小規模オフィスあるいは個人向け(SOHO)ルーターを標的とする新しいリモートアクセス型トロイの木馬(RAT)である「ZuoRAT」が登場したと報告しています。
ZuoRAT Hijacks SOHO Routers to Silently Stalk Networks
URLﾘﾝｸ(blog.lumen.com)
ZuoRAT malware hijacks SOHO Routers to spy in the vitimsSecurity Affairs
URLﾘﾝｸ(securityaffairs.co)
ZuoRATはASUS、Cisco、DrayTek、NETGEARのルーターを標的に設計されており、悪意のある攻撃者がネットワーク上でやりとりされる機密情報を盗むことができるようになります。ZuoRATは少なくとも4つのマルウェアで構成されており、そのうちの3つは新しく開発されたものだったとのこと。
ZuoRATのマルウェアはまずパッチが適用されていないルーターの脆弱性を探知し、探知した脆弱性を突く形でZuoRATがバックドアを作ります。そして、標的となったルーターとLANの情報がC2サーバーに送信されてしまうだけでなく、自分の痕跡を消したうえでルーターそのものをプロキシC2サーバーとして運用してしまうとのこと。研究者によれば、ZuoRATのルーター乗っ取り部分はMiraiを大幅に修正したバージョンだとみています。
さらに、ZuoRATはGoogleやFacebookなどのドメインに対応するIPアドレスを、攻撃者の管理下にある悪意のあるIPアドレスに置き換えます。また、ZuoRATはHTTPプロトコルも乗っ取り、通信を改ざんしてユーザーを別のIPアドレスに302リダイレクトします。
研究者によると、このキャンペーンで使用されているコマンドや指示構造は、何が起こっているかを隠すために意図的に複雑になっているとのこと。1つの構造は感染したルーターを制御するために使用され、別の構造は接続されたデバイスが感染した場合のために確保されています。
ZuoRATの脅威はルーターを再起動してしまえば、一時ディレクトリに保存されているファイルで構成される最初のエクスプロイトが削除されます。ただし、完全に回復するには感染したデバイスを工場出荷状態に初期化する必要があるとのこと。

URLﾘﾝｸ(gigazine.net)

レスを読む