小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か

CDN企業・Lumen Technologiesの脅威情報部門であるBlack Lotus Labsの研究者が、新型コロナウイルスの流行時にリモートワーカーが急増したことを狙い、小規模オフィスあるいは個人向け(SOHO)ルーターを標的とする新しいリモートアクセス型トロイの木馬(RAT)である「ZuoRAT」が登場したと報告しています。

ZuoRAT Hijacks SOHO Routers to Silently Stalk Networks - Lumen
https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/

ZuoRAT malware hijacks SOHO Routers to spy in the vitimsSecurity Affairs
https://securityaffairs.co/wordpress/132709/hacking/zuorat-soho-campaign.html

ZuoRATはASUS、Cisco、DrayTek、NETGEARのルーターを標的に設計されており、悪意のある攻撃者がネットワーク上でやりとりされる機密情報を盗むことができるようになります。ZuoRATは少なくとも4つのマルウェアで構成されており、そのうちの3つは新しく開発されたものだったとのこと。

ZuoRATのマルウェアはまずパッチが適用されていないルーターの脆弱性を探知し、探知した脆弱性を突く形でZuoRATがバックドアを作ります。そして、標的となったルーターとLANの情報がC2サーバーに送信されてしまうだけでなく、自分の痕跡を消したうえでルーターそのものをプロキシC2サーバーとして運用してしまうとのこと。研究者によれば、ZuoRATのルーター乗っ取り部分はMiraiを大幅に修正したバージョンだとみています。

さらに、ZuoRATはGoogleやFacebookなどのドメインに対応するIPアドレスを、攻撃者の管理下にある悪意のあるIPアドレスに置き換えます。また、ZuoRATはHTTPプロトコルも乗っ取り、通信を改ざんしてユーザーを別のIPアドレスに302リダイレクトします。

研究者によると、このキャンペーンで使用されているコマンドや指示構造は、何が起こっているかを隠すために意図的に複雑になっているとのこと。1つの構造は感染したルーターを制御するために使用され、別の構造は接続されたデバイスが感染した場合のために確保されています。

ZuoRATの脅威はルーターを再起動してしまえば、一時ディレクトリに保存されているファイルで構成される最初のエクスプロイトが削除されます。ただし、完全に回復するには感染したデバイスを工場出荷状態に初期化する必要があるとのこと。

研究者によれば、一部のZuoRATサンプルでは中国のIPアドレスへの接続が確認され、香港を標的にしている可能性もあるとのこと。また、複数のサンプルを分析したところ、プログラムデータベースパスはすべて共通であり、一部には漢字が含まれていたほか、中国語の地名を表わす言葉も含まれていたとのことから、研究者はZuoRATが中国のサイバー犯罪者によって開発されたものだと指摘。その複雑で手の込んだ構造から、中国政府が関係している可能性も示唆しました。

研究者は「組織はSOHOデバイスを注意深く監視し、今回の調査で示された活動が起こっていないかを確認する必要があります。ZuoRATは動作が巧妙であるため、被害規模は発覚していないものも含めると決して少なくないと考えられます。ZuoRATの脅威を軽減するためには、ルーターを含めたデバイスファームウェアのアップデートをしっかりと行い、これらのデバイスで最新のファームウェアが適用されていることを確認する必要があります」と述べました。