Routerek kihasználása
A ZuoRAT nevű, újonnan azonosított távoli hozzáférésű trójai (RAT) 2020 óta észak-amerikai és európai távmunkában dolgozókat veszi célba a SOHO (kis irodai/otthoni) routereken keresztül. A Lumen Black Lotus Labs biztonsági kutatói szerint a célzott kampány összetettsége és a támadók taktikái, technikái és eljárásai (TTP) egy államilag támogatott fenyegető szereplőre mutatnak. A kampány indulása nagyjából egybeesik a COVID-19 járvány kezdete után a távmunkára való gyors átállással, amely drasztikusan megnövelte a SOHO routerek (többek között az ASUS, a Cisco, a DrayTek és a NETGEAR) számát, amelyeket az alkalmazottak a vállalati eszközök otthoni elérésére használnak. Ez új lehetőséget adott a rosszindulatú szereplőknek, mivel a SOHO routerek ritkán vannak felügyelet alatt és kevesen telepítik a biztonsági frissítéseket rájuk. A ZuoRAT képes az oldalirányú mozgásra is, hogy a hálózaton lévő más eszközöket kompromittáljon és DNS- és HTTP eltérítéssel további kártékony kódokat telepítsen.