فجوة

اكتشف خبراء الأمن السيبراني حملة هجوم لم تكن معروفة من قبل تتضمن أجهزة توجيه مخترقة. الحملة ، المعروفة باسم "Hiatus" ، معقدة وتستهدف أجهزة التوجيه من فئة الأعمال. يقوم بنشر ثنائيين مخترقين ، بما في ذلك حصان طروادة للوصول عن بعد (RAT) يسمى "HiatusRAT" ومتغير من tcpdump يمكنه تنفيذ التقاط الحزم على الجهاز المستهدف. تم نشر تفاصيل حول حملة التهديد والبرمجيات الخبيثة المتضمنة في تقرير صادر عن باحث أمني

بمجرد إصابة الأنظمة المستهدفة ، يسمح HiatusRAT لممثل التهديد بالتفاعل عن بُعد مع الأجهزة. يستخدم وظائف تم إنشاؤها مسبقًا وهو أمر غير معتاد للغاية لتحويل الأجهزة المخترقة إلى وكيل سري لممثل التهديد. يسمح ثنائي التقاط الحزمة للجهات الفاعلة في التهديد بمراقبة حركة مرور جهاز التوجيه على المنافذ المرتبطة بالبريد الإلكتروني واتصالات نقل الملفات ، مما يمنحهم بشكل فعال القدرة على سرقة المعلومات السرية.

يستهدف المهاجمون أجهزة توجيه الأعمال التجارية المنتهية الصلاحية

تستهدف الحملة المعروفة باسم Hiatus طرازات DrayTek Vigor التي انتهى عمرها الافتراضي 2960 و 3900 ، والتي تعمل على هندسة i386. ومع ذلك ، لاحظ باحثو إنفوسك أيضًا ثنائيات مُنشأة مسبقًا تستهدف أيضًا البنى القائمة على MIPS و i386 و ARM. يتم استخدام أجهزة التوجيه هذه عادةً بواسطة الشركات متوسطة الحجم ويمكنها دعم اتصالات VPN لمئات العمال عن بُعد.

يُشتبه في أن الجهات المهددة التي تقف وراء الحملة تصيب الأهداف ذات الأهمية لجمع البيانات مع استهداف الفرص أيضًا لإنشاء شبكة بروكسي سرية. تتكون الحملة من ثلاثة مكونات رئيسية: سكربت bash تم نشره بعد الاستغلال ، وملفان تنفيذيان تم استردادهما بواسطة برنامج bash النصي - HiatusRAT ومتغير tcpdump الذي يتيح التقاط الحزمة.

عند التحليل ، وجد أن HiatusRAT يخدم غرضين أساسيين. أولاً ، يسمح للممثل بالتفاعل عن بُعد مع الجهاز المتأثر ، مما يمكّنه من تنزيل الملفات أو تشغيل أوامر عشوائية. ثانيًا ، يمكن أن يعمل كجهاز وكيل SOCKS5 على جهاز التوجيه. من المحتمل أن يتم استخدام هذا لتسهيل إنشاء حركة مرور الأوامر والتحكم (C2 ، C&C) من خلال جهاز التوجيه من أجل تشويشها من وكيل إضافي في مكان آخر.

القدرات المهددة الموجودة في HiatusRAT

يبدأ الهجوم بنشر برنامج نصي bash يقوم بتنزيل برنامج RAT الخبيث وتنفيذه ، مما يسمح له بجمع النظام والشبكة ونظام الملفات ومعالجة البيانات من جهاز التوجيه المخترق.

ينشئ HiatusRAT أيضًا اتصالًا بخادم الأوامر والتحكم كل 8 ساعات ، وفي حالة نجاحه ، يمنح المهاجمين الوصول عن بُعد للإشراف على الجهاز المصاب. كشف التحليل الهندسي العكسي عن العديد من الميزات الخطيرة للغاية للبرامج الضارة ، بما في ذلك إنتاج قذائف بعيدة على الأجهزة المصابة ، وقراءة / حذف / إخراج الملفات إلى خادم C2 ، وجلب الملفات وتنفيذها من خادم C2 ، وتنفيذ البرامج النصية من خادم C2 ، ونقل بيانات TCP يعين لإعادة توجيه المواقع من خلال بروكسيات SOCKS v5 التي تم إعدادها على أجهزة التوجيه المخترقة. إذا قرر المهاجمون القيام بذلك ، فيمكنهم إصدار تعليمات للتهديد بإنهاء نفسه.

بالإضافة إلى ذلك ، يستخدم المهاجمون وكلاء SOCKS v5 لنقل البيانات من الأجهزة المخترقة الأخرى عبر جهاز التوجيه المصاب. يساعد هذا في إخفاء بيانات الشبكة وتقليد الإجراءات المشروعة. يجب أن تكون المنظمات على دراية بهذا التهديد وأن تتخذ إجراءات لتأمين شبكاتها ضد مثل هذه الهجمات.