ZuoRAT Malware

Come funziona ZuoRAT?

ZuoRAT è un discendente di Mirai, una delle botnet Internet of Things (IoT) più famose della storia. Il codice sorgente di Mirai è trapelato nel 2016, consentendo ad altri malware di basarsi sulla base di codice esistente.

ZuoRAT ha approfittato del boom del lavoro a distanza ispirato dalla pandemia di COVID-19. A causa della pandemia, un volume maggiore di traffico aziendale passa ora attraverso i router SOHO, che collegano gli uffici domestici o le piccole imprese a Internet. Questi router sono in genere meno monitorati e protetti rispetto alle loro controparti più grandi, motivo per cui probabilmente il RAT è riuscito a passare inosservato per oltre un anno prima di essere rilevato.

ZuoRAT ottiene l'accesso ai router SOHO sfruttando le vulnerabilità senza patch. Queste vulnerabilità sono pubblicamente note; tuttavia, pochi individui e piccole imprese applicano le patch, rendendoli vulnerabili allo sfruttamento. Dopo aver ottenuto l'accesso a un router, l'obiettivo principale di ZuoRAT è la raccolta di dati sensibili. Intercetta le comunicazioni che passano attraverso il router ed esegue attacchi man-in-the-middle (MitM) sul traffico HTTP e DNS.

In quanto RAT, il malware fornisce all'aggressore anche la possibilità di controllare a distanza il dispositivo infetto. Dopo aver raccolto informazioni sul dispositivo infetto e sulla rete a cui è connesso, l'operatore malware può decidere di eseguire determinati comandi sui sistemi o scaricare moduli aggiuntivi.

La modularità di ZuoRAT gli offre un'ampia gamma di funzionalità. Si stima che siano stati identificati circa 2.500 moduli diversi per il malware, consentendo agli aggressori di lanciare attacchi altamente personalizzati contro sistemi e reti infetti.

Come proteggersi dal malware ZuoRAT

Alcune best practice di sicurezza che possono aiutare a proteggersi da questi attacchi includono:

• Inventario dei dispositivi: ZuoRAT sfrutta il fatto che molti proprietari di router SOHO non sanno quale dispositivo hanno, rendendoli meno propensi a rispondere alle segnalazioni di una vulnerabilità attivamente sfruttata. Mantenere un inventario completo dei dispositivi IT aiuta a garantire che i dispositivi non passino inosservati.
• Gestione patch: ZuoRAT sfrutta le vulnerabilità pubblicamente note per ottenere l'accesso al dispositivo vulnerabile. L'installazione tempestiva di patch e aggiornamenti non appena diventano disponibili può colmare potenziali lacune di sicurezza prima che possano essere sfruttate da un utente malintenzionato.
• Sicurezza della rete: ZuoRAT è coinvolto in varie azioni dannose, inclusi attacchi MitM e download di moduli dannosi e altre varianti di malware. il monitoraggio della rete e il sistema di prevenzione delle intrusioni (IPS) possono aiutare a rilevare e rimediare a queste minacce.
• Sicurezza web: ZuoRAT può essere utilizzato per attacchi HTTP MitM, che reindirizzano il traffico degli utenti verso altri siti web. Le soluzioni di sicurezza Web possono aiutare a identificare reindirizzamenti dannosi e impedire che malware venga recapitato al dispositivo degli utenti tramite pagine phishing .
• Gestione degli accessi: questo malware compromette i router, intercetta il traffico e può essere utilizzato per lo spraying di password e attacchi simili. Tutti questi metodi possono essere utilizzati per compromettere le credenziali degli utenti, rendendo una gestione efficace degli accessi, compresi i controlli sugli accessi con privilegi minimi e l’autenticazione a più fattori, essenziale per la protezione dagli attacchi di account takeover (ATO).