ZuoRAT, Kampanye Malware Targetkan Router SOHO (Small Office/Home Office)

ZuoRAT, Kampanye Malware Targetkan Router SOHO (Small Office/Home Office)

Posted by : Admin , Aug 29, 2022
Black Lotus Labs mengamati kampanye malware canggih yang diindikasikan dilakukan oleh organisasi yang disponsori negara (state sponsored organization). Kampanye ini mendistribusikan RAT multistage, dengan nama ZuoRAT, yang dikembangkan khusus untuk router kantor kecil/rumah (small office/home office - SOHO). Kampanye ini menargetkan banyak router SOHO yang diproduksi oleh ASUS, Cisco, DrayTek, dan NETGEAR. Malware disebarkan setelah pelaku ancaman berhasil mengeksploitasi kerentanan dengan bantuan skrip eksploit bypass otentikasi. Beberapa kasus diketahui pelaku ancaman memanfaatkan kerentnan CVE-2020-26878 dan CVE-2020-26879. Kampanye ini menggunakan infrastruktur pihak ketiga yang berbasis di China seperti platform Yuque Alibaba untuk infrastruktur command and control rahasia dan platform
Tencent sebagai redirector untuk perintah dan kontrol. Kampanye malware ZuoRAT telah diamati menggunakan Windows loader untuk mendapatkan sumber daya jarak jauh dan menjalankannya di mesin host.