Fecha de publicación: 01/07/2022
Importancia:
Alta
Recursos afectados:
Cualquier teletrabajador, autónomo o empresa que utilice rúteres SOHO (Small Office Home Office) de los afectados, entre ellos, y no de forma exhaustiva:
- Cisco RV 320, 325 y 420;
- Asus RT-AC68U, RT-AC530, RT-AC68P y RT-AC1900U;
- DrayTek Vigor 3900;
- Dispositivos NETGEAR.
Descripción:
Los investigadores de Lumen Technologies Inc.’s y Black Lotus Labs han descubierto un troyano de acceso remoto que estaría activo desde 2020, y cuyo objetivo son rúteres de pequeñas oficinas y hogares en distintos países entre los que se encuentra España.
Solución:
Como pautas generales, para evitar que el rúter resulte afectado:
- Contactar con el servicio técnico para que aplique los indicadores de compromiso o IoC descritos en el informe de Lumen (direcciones IP y puertos que utilizan los ciberdelincuentes para comunicar con los rúteres infectados) para monitorizar las conexiones remotas y la carga de software sospechosas.
- Instalar actualizaciones y parches de seguridad.
- Instalar y configurar en los dispositivos de la LAN soluciones EDR y mantenerlas actualizadas.
- Considerar contratar servicios de seguridad gestionada para la supervisión de las comunicaciones.
Si crees que tu dispositivo puede estar infectado puedes:
- Comprobar si algún dispositivo de tu red está dentro de una botnet mediante nuestro servicio Antibotnet de INCIBE.
- Reiniciar regularmente el rúter para borrar la memoria volátil. Esto eliminará el exploit inicial de ZuoRAT, almacenado en un directorio temporal.
- Contactar con tu servicio técnico para eliminar el malware realizando un restablecimiento a los valores de fábrica.
Es importante revisar la configuración general de los dispositivos de la red y los empleados para teletrabajar, además de establecer las políticas adecuadas:
- Configurar de forma segura la wifi según el documento: Seguridad en redes wifi: una guía de aproximación para el empresario.
- Aplicar las directrices para teletrabajar de forma segura según esta TemáTICa de Teletrabajo.
- Verificar que los dispositivos IoT se configuran siguiendo las pautas de Seguridad en la instalación y uso de dispositivos IoT: una guía de aproximación para el empresario.
- El router, la defensa inicial de las comunicaciones de tu negocio.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), y el formulario web.
Detalle:
Se trata de una campaña sofisticada, posiblemente originada en China, y dirigida contra organizaciones de Estados Unidos y Europa occidental. Se oculta en el tráfico típico de Internet utilizando una infraestructura de comando y control (C&C) ofuscada y compleja con múltiples capas, probablemente alineadas con las distintas fases de infección del malware para evitar sospechas.
Los investigadores han llamado ZuoRAT a este troyano que parece ser una variante avanzada de la botnet Mirai. Llega a los dispositivos a través de la Red, explotando vulnerabilidades conocidas y no parcheadas.
La explotación de estas vulnerabilidades tiene cuatro objetivos iniciales:
- Obtener la contraseña del rúter.
- Extraer la cookie de autorización (sysauth).
- Iniciar sesión remota vía Telnet.
- Eliminar cualquier versión anterior de ZuoRAT y descargar e instalar la última versión.
A continuación, el malware realiza un reconocimiento del rúter y de la red local, buscando una lista de puertos abiertos y enviando la información al servidor C&C. Otra función le permite recopilar información sobre las configuraciones DNS y wifi del rúter y las direcciones IP y MAC del resto de dispositivos de la red.
Este troyano podría permitir a un ciberdelincuente, además de recopilar información de hosts y de la LAN, capturar paquetes transmitidos por el rúter y el muestreo de las comunicaciones de red para obtener un acceso persistente y sigiloso desde servidores de C&C para realizar ataques Man-in-the-Middle y de secuestro de DNS y HTTPS.
Etiquetas:
Comunicaciones, IoT, Malware, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.