Inicio / Content / ZuoRAT: el troyano que ataca de forma remota a los rúteres

ZuoRAT: el troyano que ataca de forma remota a los rúteres

ZuoRAT: el troyano que ataca de forma remota a los rúteres


Fecha de publicación: 
01/07/2022
Importancia: 
4 - Alta
Recursos afectados: 

Cualquier teletrabajador, autónomo o empresa que utilice rúteres SOHO (Small Office Home Office) de los afectados, entre ellos, y no de forma exhaustiva:

  • Cisco RV 320, 325 y 420;
  • Asus RT-AC68U, RT-AC530, RT-AC68P y RT-AC1900U;
  • DrayTek Vigor 3900;
  • Dispositivos NETGEAR.
Descripción: 

Los investigadores de Lumen Technologies Inc.'s y Black Lotus Labs han descubierto un troyano de acceso remoto que estaría activo desde 2020, y cuyo objetivo son rúteres de pequeñas oficinas y hogares en distintos países entre los que se encuentra España.

Solución: 

Como pautas generales, para evitar que el rúter resulte afectado:

  • Contactar con el servicio técnico para que aplique los indicadores de compromiso o IoC descritos en el informe de Lumen (direcciones IP y puertos que utilizan los ciberdelincuentes para comunicar con los rúteres infectados) para monitorizar las conexiones remotas y la carga de software sospechosas.
  • Instalar actualizaciones y parches de seguridad.
  • Instalar y configurar en los dispositivos de la LAN soluciones EDR y mantenerlas actualizadas.
  • Considerar contratar servicios de seguridad gestionada para la supervisión de las comunicaciones.

Si crees que tu dispositivo puede estar infectado puedes:

  • Comprobar si algún dispositivo de tu red está dentro de una botnet mediante nuestro servicio Antibotnet de INCIBE.
  • Reiniciar regularmente el rúter para borrar la memoria volátil. Esto eliminará el exploit inicial de ZuoRAT, almacenado en un directorio temporal.
  • Contactar con tu servicio técnico para eliminar el malware realizando un restablecimiento a los valores de fábrica.

Es importante revisar la configuración general de los dispositivos de la red y los empleados para teletrabajar, además de establecer las políticas adecuadas:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), y el formulario web.

Detalle: 

Troyano ZuoRAT routers SOHO

Se trata de una campaña sofisticada, posiblemente originada en China, y dirigida contra organizaciones de Estados Unidos y Europa occidental. Se oculta en el tráfico típico de Internet utilizando una infraestructura de comando y control (C&C) ofuscada y compleja con múltiples capas, probablemente alineadas con las distintas fases de infección del malware para evitar sospechas.

Los investigadores han llamado ZuoRAT a este troyano que parece ser una variante avanzada de la botnet Mirai. Llega a los dispositivos a través de la Red, explotando vulnerabilidades conocidas y no parcheadas.

La explotación de estas vulnerabilidades tiene cuatro objetivos iniciales:

  • Obtener la contraseña del rúter.
  • Extraer la cookie de autorización (sysauth).
  • Iniciar sesión remota vía Telnet.
  • Eliminar cualquier versión anterior de ZuoRAT y descargar e instalar la última versión.

A continuación, el malware realiza un reconocimiento del rúter y de la red local, buscando una lista de puertos abiertos y enviando la información al servidor C&C. Otra función le permite recopilar información sobre las configuraciones DNS y wifi del rúter y las direcciones IP y MAC del resto de dispositivos de la red.

Este troyano podría permitir a un ciberdelincuente, además de recopilar información de hosts y de la LAN, capturar paquetes transmitidos por el rúter y el muestreo de las comunicaciones de red para obtener un acceso persistente y sigiloso desde servidores de C&C para realizar ataques Man-in-the-Middle y de secuestro de DNS y HTTPS.

Línea de ayuda en ciberseguridad 017