Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Многоступенчатый троян ZuoRAT два года атакует SOHO-роутеры в Северной Америке и Европе

30/06/22

Согласно отчету исследователей безопасности из Black Lotus Labs , сложность атак, их тактика, методы и процедуры указывают на то, что они проводятся и контролируется государственными хакерами. Атаки с использованием трояна ZuoRAT начались во время пандемии COVID-19, когда сотрудники начали работать из дома, используя домашние маршрутизаторы.

По словам ИБ-специалистов, массовый переход на удаленную работу дал открыл злоумышленникам новый вектор атак на организации – через плохо защищенные домашние роутеры сотрудников, которые хакеры начали использовать для сбора данных, взлома устройств и перехвата соединений.

Согласно заявлению экспертов , троян ZuoRAT использует уязвимости в защите маршрутизаторов для развертки дополнительных вредоносных полезных нагрузок в сети жертвы с помощью перехвата DNS и HTTP. Чаще всего в систему жертвы попадают трояны Cobalt Strike , CBeacon и GoBeacon, пишут в Securitylab.

pasted image 0 (6)

Дополнительные вредоносные программы, развернутые в сетях жертв, предоставили злоумышленникам возможность загружать и выгружать файлы, запускать произвольные команды, перехватывать сетевой трафик, внедрять новые процессы и закрепляться во взломанных системах. Кроме того, некоторые скомпрометированные маршрутизаторы становились частью ботнета и использовались в качестве прокси для C&C-серверов хакеров.

Основываясь на возрасте образцов, представленных VirusTotal , и данных телеметрии Black Lotus Labs за девять месяцев, исследователи подсчитали, что жертвами хакерской кампании стали как минимум 80 целей.

Темы:ПреступленияAPT-группыRATУдаленная работаBlack Lotus Labs
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...