Прекъсване RAT

Експерти по киберсигурност са открили неизвестна досега кампания за атака, която включва компрометирани рутери. Кампанията, известна като „Hiatus“, е сложна и е насочена към рутери от бизнес клас. Той разполага с два компрометирани бинарни файла, включително троянски кон за отдалечен достъп (RAT), наречен „HiatusRAT“ и вариант на tcpdump, който може да извърши улавяне на пакети на целевото устройство. Подробности за заплашителната кампания и свързания зловреден софтуер бяха публикувани в доклад от изследовател по сигурността

След като целевите системи са заразени, HiatusRAT позволява на заплахата да взаимодейства дистанционно с устройствата. Той използва предварително изградена функционалност, която е много необичайна за преобразуване на компрометираните машини в скрит прокси за заплахата. Двоичният файл за улавяне на пакети позволява на участниците в заплахата да наблюдават трафика на рутера на портове, свързани с имейли и комуникации за прехвърляне на файлове, което им дава възможност ефективно да крадат поверителна информация.

Нападателите са насочени към излезлите от употреба бизнес рутери

Кампанията, известна като Hiatus, е насочена към моделите 2960 и 3900 на DrayTek Vigor в края на живота си, които работят на i386 архитектура. Изследователите на infosec обаче също са наблюдавали предварително изградени двоични файлове, които също са насочени към MIPS, i386 и базирани на ARM архитектури. Тези рутери обикновено се използват от средни предприятия и могат да поддържат VPN връзки за стотици отдалечени работници.

Подозира се, че участниците в заплахата, които стоят зад кампанията, заразяват цели, представляващи интерес, за да събират данни, като същевременно се насочват към възможности за създаване на скрита прокси мрежа. Кампанията се състои от три основни компонента: bash скрипт, внедрен след експлоатацията, два изпълними файла, извлечени от bash скрипта - HiatusRAT и вариант на tcpdump, който позволява улавяне на пакети.

При анализ беше установено, че HiatusRAT служи за две основни цели. Първо, позволява на актьора да взаимодейства дистанционно със засегнатото устройство, като му позволява да изтегля файлове или да изпълнява произволни команди. Второ, той може да работи като SOCKS5 прокси устройство на рутера. Това вероятно се използва за улесняване на проксирането на командно-контролен (C2, C&C) трафик през рутера, за да се скрие от допълнителен агент другаде.

Заплашващите способности, открити в HiatusRAT

Атаката започва с внедряването на bash скрипт, който изтегля и изпълнява зловреден софтуер RAT, позволявайки му да събира системата, мрежата, файловата система и да обработва данни от компрометирания рутер.

HiatusRAT също установява комуникация със сървър за командване и управление на всеки 8 часа и, ако успее, дава на атакуващите отдалечен достъп за наблюдение на заразеното устройство. Анализът на обратното инженерство разкри няколко изключително опасни функции на злонамерения софтуер, включително създаване на отдалечени обвивки на заразени устройства, четене/изтриване/ексфилтриране на файлове към C2 сървъра, извличане и изпълнение на файлове от C2 сървъра, изпълнение на скриптове от C2 сървъра, предаване на TCP данни настройва за препращане на местоположения чрез проксита SOCKS v5, настроени на нарушени рутери. Ако нападателите решат да го направят, те могат да инструктират заплахата да се прекрати сама.

Освен това нападателите използват SOCKS v5 проксита, за да преместват данни от други пробити устройства през заразения рутер. Това помага да се скрият мрежовите данни и да се имитират законни действия. Организациите трябва да са наясно с тази заплаха и да предприемат мерки за защита на своите мрежи срещу подобни атаки.