ZuoRATは、少なくとも2020年から活動している リモートアクセス型トロイの木馬(RAT) ですが、2022年に初めて野生で検出されました。 このマルウェアは主に、北米および欧州市場で販売されている小規模オフィス/ホームオフィス (SOHO) ルーターを標的としています。
ZuoRAT は、歴史上最も有名なモノのインターネット (IoT) ボットネットの 1 つであるMiraiの後継です。 Mirai のソースコードは 2016 年に漏洩し、既存のコードベース上に他のマルウェアを構築することが可能になりました。
ZuoRATは、COVID-19のパンデミックに触発されたリモートワークのブームを利用しました。 パンデミックの影響で、より多くのビジネストラフィックがSOHOルーターを経由するようになり、ホームオフィスや中小企業をインターネットに接続するようになりました。 これらのルーターは通常、大型のルーターよりも監視や保護が不十分なため、RATは検出されるまで1年以上もレーダーの下を飛ぶことができたのでしょう。
ZuoRAT は、パッチが適用されていない脆弱性を悪用して SOHO ルーターにアクセスします。 これらの脆弱性は公に知られていますが、パッチを適用する個人や中小企業はほとんどいないため、悪用される危険性が残っています。 ルーターにアクセスした後、ZuoRATの主な目標は機密データの収集です。 ルーターを通過する通信を盗聴し、HTTPおよびDNSトラフィックに対して 中間者(MitM)攻撃 を実行します。
このマルウェアはRATであるため、攻撃者は感染したデバイスをリモートで制御することもできます。 マルウェアのオペレーターは、感染したデバイスとそれらが接続されているネットワークに関する情報を収集した後、システム上で特定のコマンドを実行したり、追加のモジュールをダウンロードしたりすることができます。
ZuoRATのモジュール性は、幅広い機能を提供します。 このマルウェアには推定 2,500 種類のモジュールが特定されており、攻撃者は感染したシステムやネットワークに対して高度にカスタマイズされた攻撃を仕掛けることができます。
ZuoRAT マルウェアは、SOHO ルーター上で気づかれずに侵入するように設計されています。 これらのルーターは通常は管理されていないという事実を利用するだけでなく、マルウェアはルーター間の通信とプロキシ サーバーをコマンド アンド コントロール (C2) に使用し、マルウェアを検出したりソースを追跡したりすることがさらに困難になりました。
ZuoRAT は、感染したルーターのネットワークを構築するだけでなく、組織のネットワーク システムにさまざまな影響を及ぼす可能性があります。 このマルウェアは、ネットワーク トラフィックを盗聴および傍受することができ、さまざまなモジュールを通じて、マルウェアのリソースとネットワーク トラフィックへのアクセスを使用して、パスワード スプレーやコード インジェクションなどの他の攻撃を実行する可能性があります。
これらの攻撃から保護するのに役立つセキュリティのベスト プラクティスには、次のようなものがあります。
ZuoRAT は、リモートワークの急増を利用し、機密性の高いビジネス データを突然託された、保護が不十分な小規模ネットワークを標的とする多目的マルウェアの亜種です。 パッチが適用されていない SOHO ルーターにアクセスすることで、ネットワーク トラフィックを監視し、多くの場合管理されていないこれらのデバイスからその他の攻撃を実行するための完璧な足掛かりが得られます。
この種の手法は2023年になってもまだ一般的であり、サイバー犯罪者が成功した戦術を仕掛けたことを示しています。 しかし、これは企業が取り組んでいる多くのセキュリティ脅威の1つにすぎません。 現在のサイバーセキュリティ脅威の状況について詳しくは、チェック・ポイントの2024 年サイバーセキュリティ レポートをご覧ください。
チェック・ポイントのHarmony Endpoint ZuoRAT やその他のマルウェア亜種によってもたらされる脅威を特定し、管理するために必要な可視性と制御を企業に提供します。 Harmony Endpoint とその予防重視のアプローチの詳細については、無料デモをご覧ください。
フィードバック