Comment fonctionne ZuoRAT ?
ZuoRAT est un descendant de Mirai, l’un des botnets L’Internet des objets (IoT) les plus célèbres de l’histoire. Le code source de Mirai a été divulgué en 2016, ce qui a permis à d’autres logiciels malveillants de s’appuyer sur sa base de code existante.
ZuoRAT a profité de l’essor du travail à distance inspiré par la pandémie de COVID-19. En raison de la pandémie, une plus grande partie du trafic commercial passe désormais par les routeurs SOHO, qui connectent les bureaux à domicile ou les petites entreprises à Internet. Ces routeurs sont généralement moins surveillés et sécurisés que leurs homologues plus grands, ce qui explique probablement pourquoi le RAT a réussi à passer inaperçu pendant plus d’un an avant d’être détecté.
ZuoRAT accède aux routeurs SOHO en exploitant une vulnérabilité non corrigée. Ces vulnérabilités sont connues du public ; Cependant, peu de particuliers et de petites entreprises appliquent les correctifs, ce qui les rend vulnérables à l’exploitation. Après avoir obtenu l’accès à un routeur, l’objectif principal de ZuoRAT est la collecte de données sensibles. Il espionne les communications passant par le routeur et effectue des attaques de type « man-in-the-middle » (MitM) sur le trafic HTTP et DNS.
En tant que RAT, le logiciel malveillant offre également à l’attaquant la possibilité de contrôler à distance l’appareil infecté. Après avoir collecté des informations sur l’appareil infecté et le réseau auquel il est connecté, l’opérateur du logiciel malveillant peut décider d’exécuter certaines commandes sur les systèmes ou de télécharger des modules supplémentaires.
La modularité du ZuoRAT lui confère un large éventail de capacités. On estime que 2 500 modules différents ont été identifiés pour le logiciel malveillant, ce qui permet aux attaquants de lancer des attaques hautement personnalisées contre les systèmes et les réseaux infectés.
Comment le logiciel malveillant ZuoRAT affecte les systèmes réseau
Le logiciel malveillant ZuoRAT a été conçu pour se faufiler sous le radar des routeurs SOHO. En plus de tirer parti du fait que ces routeurs ne sont généralement pas gérés, le logiciel malveillant a également utilisé des communications de routeur à routeur et des serveurs proxy pour la commande et le contrôle (C2), ce qui rend encore plus difficile la détection du logiciel malveillant ou son retraçage jusqu’à sa source.
En plus de la construction d’un réseau de routeurs infectés, ZuoRAT peut avoir divers impacts sur les systèmes réseau d’une organisation. Le logiciel malveillant peut espionner et intercepter le trafic réseau et, grâce à ses différents modules, a le potentiel d’effectuer d’autres attaques, telles que la pulvérisation de mots de passe ou l’injection de code, en utilisant les ressources du logiciel malveillant et l’accès au trafic réseau.
Comment se protéger contre le logiciel malveillant ZuoRAT
Voici quelques bonnes pratiques de sécurité qui peuvent aider à se protéger contre ces attaques :
- appareil Inventaire : ZuoRAT tire parti du fait que de nombreux propriétaires de routeurs SOHO ne savent pas de quel appareil ils disposent, ce qui les rend moins susceptibles de répondre aux signalements d’une vulnérabilité activement exploitée. Le maintien d’un inventaire complet des appareils informatiques permet de s’assurer que les appareils ne passent pas entre les mailles du filet.
- Gestion des correctifs : ZuoRAT exploite une vulnérabilité connue du public pour accéder à un appareil vulnérable. L’installation rapide de correctifs et de mises à jour lorsqu’ils sont disponibles peut mettre fin au manque de sécurité potentiel avant qu’ils ne puissent être exploités par un attaquant.
- réseau Sécurité : ZuoRAT se livre à diverses actions malveillantes, notamment des attaques MitM et le téléchargement de modules malveillants et d’autres variantes de logiciels malveillants. la surveillance du réseau et le Système de prévention des intrusions (IPS) peuvent aider à détecter et à remédier à ces menaces.
- Sécurité Web : ZuoRAT peut être utilisé pour les attaques HTTP MitM, qui redirigent le trafic des utilisateurs vers d’autres sites Web. Les solutions de sécurité Web peuvent aider à identifier les redirections malveillantes et à empêcher les logiciels malveillants d’être livrés à l’appareil des utilisateurs via des pages d’hameçonnage .
- Gestion des accès : Ce logiciel malveillant compromet les routeurs, espionne le trafic et peut être utilisé dans la pulvérisation de mots de passe et d’autres attaques similaires. Toutes ces méthodes peuvent être utilisées pour compromettre les informations d’identification des utilisateurs, ce qui rend une gestion solide des accès, y compris les contrôles d’accès de moindre privilège et les multifacteurs d’authentification, essentielle pour se protéger contre les attaques de prise de contrôle de compte (ATO).
ZuoRAT logiciel malveillant Detection and Protection with Check Point
ZuoRAT est une variante polyvalente d’un logiciel malveillant qui a profité de l’essor du travail à distance en ciblant les petits réseaux sous-protégés qui se sont soudainement vu confier des données professionnelles sensibles. En accédant à des routeurs SOHO non corrigés, il prend le pied idéal pour surveiller le trafic réseau et effectuer d’autres attaques à partir de ces appareils souvent non gérés.
Ce type de techniques est encore monnaie courante en 2023, ce qui démontre que les cybercriminels ont adopté une tactique efficace. Cependant, ce n’est qu’une des nombreuses menaces de sécurité auxquelles les entreprises sont confrontées. Pour en savoir plus sur le paysage actuel des menaces à la cybersécurité, consultez le Rapport sur la cybersécurité 2024 de Check Point.
Le Harmony Endpointde Check Point offre aux entreprises la visibilité et le contrôle nécessaires pour identifier et gérer les menaces posées par ZuoRAT et d’autres variantes de logiciels malveillants. Pour en savoir plus sur Harmony Endpoint et son approche axée sur la prévention, regardez une démo gratuite.
Commentaires