ZuoRAT木馬全世界路由器流竄 思科、華碩在內等近80款產品全遭鎖定
路由器也會被駭客攻擊?一隻名為「ZuoRAT」的木馬程式攻擊遍佈多款北美及歐洲等地小型企業及家用路由器,透過軟體植獨木馬程式後,程式會挾持路由器作為跳板,經由用戶本地網路(LAN)感染其他同網路上的Windows、MacOS及Linux連網設備,以便感染其他連網設備,包括思科、華碩在內等近80款產品都曾遭到鎖定。
圖/123RF
Lumen Black Lotus Labs 的研究人員在與 The Hacker News 分享的一份報告中表示,ZuoRAT一旦進入路由器設備後,攻擊就進入第二階段,就是持續侵入連網的路由器,劫持DNS及HTTP等IP位置,過程中製造302錯誤訊息。兩者的目的皆是將用戶連線導向惡意IP位址,有可能造成商業、個人資訊不斷外洩。
ZuoRAT的攻擊第3階段是結合一個C++程式,下載後植入後續其他程式,包括CBeacon、GoBeacon及Cobalt Strike。其中CBeacon是針對Windows工作站等環境的C++木馬程式,GoBeacon則是可橫跨Linux及macOS平臺。Cobalt Strike則作為輔助之用,三者都是全功能型木馬程式,意即Linux及macOS中毒後都無一倖免。
該病毒可怕之處就在於ZuoRAT在全世界各地的路由器流竄,被駭入的路由器產品也可以當成C&C代理伺服器,和其他被感染的路由器相互通訊,顯示感染源自華碩、思科、居易科技及Netgear的設備。不過在研究期間出現開採活動者僅剩一臺中國品牌Techdata的JCG-Q20路由器,研究人員建議應定期重開路由器,並安裝安全更新及修補程式。(記者/劉閔)
瀏覽 1,442 次