日前有報道稱：一個技術異常先進的黑客組織，花了將近兩年時間用惡意軟件感染北美和歐洲的各種路由器，進而完全控制了 Windows、macOS 和 Linux 聯網設備的運行。Lumen Technologies 旗下 Black Lotus 實驗室的研究人員指出，其已確認至少 80 款被隱形惡意軟件感染的目標，且涉及思科、Netgear、華碩和 GrayTek 等品牌的路由器型號。

圖 1 - ZuoRAT 活動概述（來自：Black Lotus Labs）

安全研究人員指出，針對路由器的 ZuoRAT 攻擊的幕后操盤手，或有著深厚且復雜的背景。作為更廣泛的黑客活動的一部分，這款遠程訪問木馬的活動，至少可追溯到 2020 年 4 季度。

看到專為 MIPS 架構編寫的定制惡意軟件，這項發現為無數小型和家庭辦公室（SOHO）路由器用戶敲響了安全的警鐘。

盡管很少被報道，但通過路由器來隱匿意圖，惡意軟件不僅能夠枚舉連接到受感染路由器的所有設備，還可以收集其收發的 DNS 查詢與網絡流量。

同時涉及 DNS 和 HTTP 劫持的中間人攻擊也相當罕見，這進一步表明 ZuoRAT 背后有著相當高水準的復雜威脅參與者的身影。

Black Lotus 至少在這輪惡意軟件活動期間揪出了四個可疑的對象，且其中有三個都看得出是從頭精心編制的。

首先是基于 MIPS 的 ZuoRAT，它與 Mirai 物聯網惡意軟件極其相似，曾涉及破紀錄的分布式拒絕服務（DDoS）攻擊，但它通常是利用未及時修補的 SOHO 設備漏洞來部署的。

安裝后，ZuoRAT 會枚舉連接到受感染路由器的設備。接著威脅參與者可利用 DNS / HTTP 劫持，引導聯網設備安裝其它特別定制的惡意軟件 —— 包括 CBeacon 和 GoBeacon 。

前者采用 C++ 編程語言，主要針對 Windows 平臺。后者使用 Go 語言編寫，主要針對 Linux / macOS 設備。

圖 5 - 惡意軟件附帶的三無證書

ZuoRAT 還可借助泛濫的 Cobalt Strike 黑客工具來感染聯網設備，且遠程的命令與控制基礎設施也被可疑搞得相當復雜，以掩蓋其真實目的。

圖 6 - CBeacon 在實驗室環境中生成的流量截圖

期間 Black Lotus 安全研究人員留意到了來自 23 個 IP 地址的路由器和 C&C 服務器建立了持久連接，意味著攻擊者正在執行初步調查以確定目標是否有深入攻擊的價值。

圖 7 - Go 代理的網絡流量截圖

慶幸的是，與大多數路由器惡意軟件一樣，ZuoRAT 無法在設備重啟后留存（由存儲在臨時目錄中的文件組成）。此外只需重置受感染的設備，即可移除最初的 ZuoRAT 漏洞利用。

CBeacon 包含的八個預構建函數的功能調用

即便如此，我們還是推薦大家及時檢查長期聯網設備的固件更新。否則一旦被感染其它惡意軟件，終端設備用戶還是很難對其展開徹底的消殺。

圖 8 - 在 CBeacon / GoBeacon 上運行的 C2.Heartbeat 比較

有關這輪惡意軟件活動的更多細節，還請移步至 Black Lotus Labs 的 GitHub 主頁查看。