日前有報(bào)道稱：一個技術(shù)異常先進(jìn)的黑客組織，花了將近兩年時間用惡意軟件感染北美和歐洲的各種路由器，進(jìn)而完全控制了 Windows、macOS 和 Linux 聯(lián)網(wǎng)設(shè)備的運(yùn)行。Lumen Technologies 旗下 Black Lotus 實(shí)驗(yàn)室的研究人員指出，其已確認(rèn)至少 80 款被隱形惡意軟件感染的目標(biāo)，且涉及思科、Netgear、華碩和 GrayTek 等品牌的路由器型號。

圖 1 - ZuoRAT 活動概述（來自：Black Lotus Labs）

安全研究人員指出，針對路由器的 ZuoRAT 攻擊的幕后操盤手，或有著深厚且復(fù)雜的背景。作為更廣泛的黑客活動的一部分，這款遠(yuǎn)程訪問木馬的活動，至少可追溯到 2020 年 4 季度。

看到專為 MIPS 架構(gòu)編寫的定制惡意軟件，這項(xiàng)發(fā)現(xiàn)為無數(shù)小型和家庭辦公室（SOHO）路由器用戶敲響了安全的警鐘。

盡管很少被報(bào)道，但通過路由器來隱匿意圖，惡意軟件不僅能夠枚舉連接到受感染路由器的所有設(shè)備，還可以收集其收發(fā)的 DNS 查詢與網(wǎng)絡(luò)流量。

同時涉及 DNS 和 HTTP 劫持的中間人攻擊也相當(dāng)罕見，這進(jìn)一步表明 ZuoRAT 背后有著相當(dāng)高水準(zhǔn)的復(fù)雜威脅參與者的身影。

Black Lotus 至少在這輪惡意軟件活動期間揪出了四個可疑的對象，且其中有三個都看得出是從頭精心編制的。

首先是基于 MIPS 的 ZuoRAT，它與 Mirai 物聯(lián)網(wǎng)惡意軟件極其相似，曾涉及破紀(jì)錄的分布式拒絕服務(wù)（DDoS）攻擊，但它通常是利用未及時修補(bǔ)的 SOHO 設(shè)備漏洞來部署的。

安裝后，ZuoRAT 會枚舉連接到受感染路由器的設(shè)備。接著威脅參與者可利用 DNS / HTTP 劫持，引導(dǎo)聯(lián)網(wǎng)設(shè)備安裝其它特別定制的惡意軟件 —— 包括 CBeacon 和 GoBeacon 。

前者采用 C++ 編程語言，主要針對 Windows 平臺。后者使用 Go 語言編寫，主要針對 Linux / macOS 設(shè)備。

圖 5 - 惡意軟件附帶的三無證書

ZuoRAT 還可借助泛濫的 Cobalt Strike 黑客工具來感染聯(lián)網(wǎng)設(shè)備，且遠(yuǎn)程的命令與控制基礎(chǔ)設(shè)施也被可疑搞得相當(dāng)復(fù)雜，以掩蓋其真實(shí)目的。

圖 6 - CBeacon 在實(shí)驗(yàn)室環(huán)境中生成的流量截圖

期間 Black Lotus 安全研究人員留意到了來自 23 個 IP 地址的路由器和 C&C 服務(wù)器建立了持久連接，意味著攻擊者正在執(zhí)行初步調(diào)查以確定目標(biāo)是否有深入攻擊的價值。

圖 7 - Go 代理的網(wǎng)絡(luò)流量截圖

慶幸的是，與大多數(shù)路由器惡意軟件一樣，ZuoRAT 無法在設(shè)備重啟后留存（由存儲在臨時目錄中的文件組成）。此外只需重置受感染的設(shè)備，即可移除最初的 ZuoRAT 漏洞利用。

CBeacon 包含的八個預(yù)構(gòu)建函數(shù)的功能調(diào)用

即便如此，我們還是推薦大家及時檢查長期聯(lián)網(wǎng)設(shè)備的固件更新。否則一旦被感染其它惡意軟件，終端設(shè)備用戶還是很難對其展開徹底的消殺。

圖 8 - 在 CBeacon / GoBeacon 上運(yùn)行的 C2.Heartbeat 比較

有關(guān)這輪惡意軟件活動的更多細(xì)節(jié)，還請移步至 Black Lotus Labs 的 GitHub 主頁查看。