Un equipo desconocido de atacantes está utilizando una pieza de malware recientemente descubierta para infectar una variedad de enrutadores SOHO, secuestrar el tráfico DNS y HTTP y moverse lateralmente a través de redes comprometidas. El malware, que parece ser una versión modificada del venerable código base Mirai, se conoce como ZuoRAT y los investigadores creen que puede ser obra de un actor patrocinado por el estado.
ZuoRAT es una RAT de varias etapas que se dirige específicamente a los enrutadores SOHO y que es capaz de enumerar la LAN interna, recopilar datos transmitidos a través del dispositivo infectado y realizar ataques de intermediarios, como el secuestro de DNS y HTTP.
Las funciones principales son: La recuperación de la contraseña del enrutador, la extracción de la cookie sysauth, el inicio de una sesión de telnet y luego la eliminación de cualquier versión anterior de ZuoRAT y la descarga e instalación de la última versión. Luego, el malware realiza un reconocimiento en el enrutador y la red local, busca una lista de puertos abiertos y luego envía la información al servidor C2. Otra función permite que ZuoRAT recopile información sobre la configuración de DNS y WiFi en el enrutador y las direcciones IP y direcciones MAC para otros dispositivos en la red.
Una vez que el actor de amenazas obtuvo información sobre la configuración de DNS y el host interno en la LAN adyacente, hubo varias funciones diseñadas para realizar el secuestro de DNS. Estas funciones analizarían las solicitudes de DNS que se transmitían a través del enrutador y un analizador de DNS personalizado, proporcionando estadísticas sobre los tipos de dominios solicitados por la víctima. Otras funciones permitieron al actor actualizar las reglas de secuestro de DNS especificando qué dominios secuestrar, la dirección IP maliciosa resultante del secuestro y la cantidad de veces para activar la regla.
Segun los expertos en el tema, no se puede determinar la cantidad de enrutadores afectados por ZuoRAT, pero Adamitis dijo que la telemetría de Lumen mostró casi 80 en los últimos meses por lo que debemos ser cuidadosos.