ZuoRAT угоняет SOHO-роутеры в рамках шпионской кампании
Главная » Новости
Гибридные облака: как и зачем их строятДо 70% российских компаний уже используют гибридное облако: часть инфраструктуры остаётся on-prem, часть переносится в публичные облака. Это рабочая модель, которая ускоряет запуск сервисов, даёт гибкое масштабирование и поддержку AI-нагрузок при сохранении контроля над данными. 14 мая в 11:00 в эфире AM Live разберём, как работает гибрид, когда облака дают максимум выгоды, как выбрать провайдера и какие ошибки чаще всего допускают→ Зарегистрироваться
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

ZuoRAT угоняет SOHO-роутеры в рамках шпионской кампании

Татьяна Никитина 29 Июня 2022 - 17:49
...
ZuoRAT угоняет SOHO-роутеры в рамках шпионской кампании

Неизвестные злоумышленники внедряют троян ZuoRAT в офисные и домашние роутеры, чтобы проникнуть во внутренние сети организаций и скрытно шпионить, ведя перехват трафика и развернув бэкдоры. По данным Black Lotus Labs (исследовательское подразделение Lumen Technologies), киберкампания была запущена больше двух лет назад — когда из-за COVID-19 все перешли на удаленку.

Целевые атаки, по словам Black Lotus, проводятся в основном в Северной Америке и Западной Европе, на мушку взяты как минимум 80 компаний, а может, и гораздо больше. Вредонос обнаружен на роутерах SOHO-класса разного производства, в том числе ASUS, Cisco, DrayTek и NETGEAR; такие сетевые устройства обычно обходят вниманием и редко латают.

Доставка ZuoRAT (в виде MIPS-файла) осуществляется через эксплойт. Наличие подобного лазутчика позволяет провести разведку в локальной сети и пустить в ход простейший загрузчик, скомпилированный в C++. В результате на Windows-машинах жертвы может появиться бэкдор, способный выполнять произвольные команды, — Cobalt Strike, CBeacon или GoBeacon (два последних, со слов экспертов, — кастомные инструменты удаленного доступа).

 

Резидентный ZuoRAT собирает информацию о зараженном хосте и составе смежной LAN, о трафике, проходящем через роутер, а также может перехватывать DNS- и HTTP-запросы и выполнять перенаправление в сторонний домен на основе заданных правил. Анализ показал, что вредонос создан на основе кода Mirai, слитого в Сеть в 2016 году.

Кроме основных встроенных функций, исследователи насчитали около 2500 опциональных (подбор паролей, распознавание USB-устройств, инъекция кода, отслеживание TCP-соединений на портах 21 и 8443 и т. п.). За их выполнение отвечают дополнительные модули, загружаемые с C2.

Командная инфраструктура ZuoRAT разделена на уровни и тщательно скрывается. Эксплойт загружается с отдельного VPS-сервера, некоторые зараженные роутеры работают как прокси-серверы C2 и часто меняются.

 

Для маскировки злоумышленники также используют промежуточные серверы с безобидным контентом, и зараженные устройства к ним изредка подключаются без всякой видимой цели. Головные серверы, к которым обращаются резидентные ZuoRAT и бэкдоры, разделены; в последнем случае для нужд C2 используются платформы Tencent и Yuque (принадлежит Alibaba).

Следующая главная новость »
AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Не удаляйте SecureBoot: зачем Windows 11 создала новую папку в C:\Windows
Екатерина Быстрова 18 Мая 2026 - 09:05
Windows Домашние пользователиКорпорации Microsoft
Не удаляйте SecureBoot: зачем Windows 11 создала новую папку в C:\Windows

Пользователи Windows 11 после установки майского обновления KB5089549 находят в C:\Windows новую папку SecureBoot. Выглядит подозрительно: вчера её не было, сегодня она есть, внутри какие-то PowerShell-скрипты. Неудивительно, что ряд юзер начал паниковать.

Но в этот раз всё не так драматично. Microsoft объяснила, что папка появилась не из-за бага, а в рамках обновления сертификатов Secure Boot. В июне 2026 года старые сертификаты Secure Boot, выпущенные в 2011 году или раньше, начнут истекать, поэтому их нужно заменить на новые сертификаты 2023 года.

Secure Boot — это механизм UEFI, который не даёт неподписанному и потенциально опасному коду загружаться ещё до старта Windows. Для Windows 11 Secure Boot является одним из обязательных требований.

Новая директория SecureBoot нужна для более мягкого переезда на свежие сертификаты. По данным Microsoft, она содержит скрипты для ИТ-администраторов, управляющих обновлениями на парке устройств. Один скрипт проверяет, установлены ли новые сертификаты, другой помогает убедиться, что системная задача обновления Secure Boot включена. Сами по себе эти файлы ничего на компьютере не меняют.

Самое смешное, что каталог получили не только корпоративные машины, где такие скрипты действительно могут пригодиться, но и обычные домашние десктопы.

Удалять папку не нужно. Ничего полезного от этого не будет, а будущие обновления Windows могут на неё рассчитывать. Лучше оставить всё как есть и дать системе самой разобраться с ротацией сертификатов.

AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!
Сайты не открываются: россияне жалуются на сбои из-за Защиты интернета
Новость
Сайты не открываются: россияне жалуются на сбои из-за Защиты...
InfoWatch Traffic Monitor 7.9 подтвердил 4 уровень доверия ФСТЭК России
Новость
InfoWatch Traffic Monitor 7.9 подтвердил 4 уровень доверия Ф...
РЖД удалось отменить штраф за утечку персональных данных после атаки
Новость
РЖД удалось отменить штраф за утечку персональных данных пос...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.