HiatusRAT

Els experts en ciberseguretat han descobert una campanya d'atac desconeguda anteriorment que implica encaminadors compromesos. La campanya, coneguda com "Hiatus", és complexa i està orientada a encaminadors de qualitat empresarial. Desplega dos binaris compromesos, inclòs un troià d'accés remot (RAT) anomenat "HiatusRAT" i una variant de tcpdump que pot dur a terme la captura de paquets al dispositiu de destinació. Els detalls sobre la campanya amenaçadora i el programari maliciós implicat es van publicar en un informe d'un investigador de seguretat

Un cop infectats els sistemes dirigits, el HiatusRAT permet a l'actor de l'amenaça interactuar de forma remota amb els dispositius. Utilitza una funcionalitat preconstruïda que és molt inusual per convertir les màquines compromeses en un servidor intermediari encobert per a l'actor de l'amenaça. El binari de captura de paquets permet als actors de l'amenaça supervisar el trànsit de l'encaminador als ports associats amb el correu electrònic i les comunicacions de transferència de fitxers, donant-los de manera efectiva la capacitat de robar informació confidencial.

Els atacants es dirigeixen als encaminadors comercials al final de la seva vida útil

La campanya coneguda com Hiatus té com a objectiu els models DrayTek Vigor 2960 i 3900 al final de la seva vida útil, que funcionen amb una arquitectura i386. Tanmateix, els investigadors d'infosec també han observat binaris preconstruïts que també tenen com a objectiu arquitectures basades en MIPS, i386 i ARM. Aquests encaminadors solen ser utilitzats per empreses mitjanes i poden suportar connexions VPN per a centenars de treballadors remots.

Se sospita que els actors de l'amenaça darrere de la campanya infecten objectius d'interès per recollir dades alhora que s'orienten a oportunitats per establir una xarxa intermediaria encoberta. La campanya consta de tres components principals: un script bash desplegat després de l'explotació, dos executables recuperats per l'script bash - HiatusRAT i una variant de tcpdump que permet la captura de paquets.

Després de l'anàlisi, es va trobar que HiatusRAT té dos propòsits principals. En primer lloc, permet a l'actor interactuar de forma remota amb el dispositiu afectat, la qual cosa li permet descarregar fitxers o executar ordres arbitràries. En segon lloc, pot funcionar com a dispositiu intermediari SOCKS5 al router. És probable que s'utilitzi per facilitar el trànsit de comandament i control (C2, C&C) a través de l'encaminador per tal d'ofuscar-lo des d'un agent addicional en un altre lloc.

Les capacitats amenaçadores trobades a HiatusRAT

L'atac comença amb el desplegament d'un script bash que descarrega i executa el programari maliciós RAT, cosa que li permet recollir el sistema, la xarxa, el sistema de fitxers i processar dades de l'encaminador compromès.

HiatusRAT també estableix comunicació amb un servidor d'ordres i control cada 8 hores i, si té èxit, dóna als atacants accés remot per supervisar el dispositiu infectat. L'anàlisi d'enginyeria inversa va revelar diverses característiques extremadament perilloses del programari maliciós, com ara generar shells remotes en dispositius infectats, llegir/suprimir/exfiltrar fitxers al servidor C2, obtenir i executar fitxers del servidor C2, executar scripts des del servidor C2, transmetre dades TCP. s'estableix per reenviar ubicacions mitjançant servidors intermediaris SOCKS v5 configurats en encaminadors violats. Si els atacants decideixen fer-ho, poden ordenar a l'amenaça que s'acabi.

A més, els atacants utilitzen servidors intermediaris SOCKS v5 per moure dades d'altres dispositius violats a través de l'encaminador infectat. Això ajuda a enfosquir les dades de la xarxa i a imitar accions legítimes. Les organitzacions haurien de ser conscients d'aquesta amenaça i prendre mesures per protegir les seves xarxes contra aquests atacs.