HiatusRAT

Odborníci na kybernetickou bezpečnost objevili dříve neznámou útočnou kampaň, která zahrnuje napadené routery. Kampaň známá jako „Hiatus“ je složitá a zaměřuje se na routery podnikové třídy. Nasazuje dva kompromitované binární soubory, včetně trojského koně pro vzdálený přístup (RAT) s názvem 'HiatusRAT' a varianty tcpdump, která dokáže zachycovat pakety na cílovém zařízení. Podrobnosti o hrozivé kampani a souvisejícím malwaru byly zveřejněny ve zprávě bezpečnostního výzkumníka

Jakmile jsou cílené systémy infikovány, HiatusRAT umožňuje aktérovi hrozby vzdálenou interakci se zařízeními. Využívá předpřipravenou funkcionalitu, která je velmi neobvyklá pro převedení napadených počítačů na skrytý proxy pro aktéra hrozby. Binární program pro zachycování paketů umožňuje aktérům hrozeb monitorovat provoz směrovače na portech spojených s e-mailovou komunikací a komunikací při přenosu souborů, což jim efektivně dává možnost krást důvěrné informace.

Útočníci se zaměřují na obchodní směrovače na konci životnosti

Kampaň známá jako Hiatus se zaměřuje na modely DrayTek Vigor 2960 a 3900 na konci životnosti, které fungují na architektuře i386. Výzkumníci společnosti Infosec však také pozorovali předpřipravené binární soubory, které se také zaměřují na architektury založené na MIPS, i386 a ARM. Tyto směrovače obvykle používají středně velké podniky a mohou podporovat připojení VPN pro stovky vzdálených pracovníků.

Existuje podezření, že aktéři hrozeb stojící za kampaní infikují zájmové cíle, aby shromáždili data a zároveň se zaměřili na příležitosti k vytvoření skryté sítě proxy. Kampaň se skládá ze tří hlavních komponent: bash skript nasazený po exploataci, dva spustitelné soubory načtené bash skriptem - HiatusRAT a varianta tcpdump, která umožňuje zachycování paketů.

Po analýze bylo zjištěno, že HiatusRAT slouží dvěma primárním účelům. Za prvé, umožňuje herci vzdáleně komunikovat s postiženým zařízením, což mu umožňuje stahovat soubory nebo spouštět libovolné příkazy. Za druhé, může fungovat jako proxy zařízení SOCKS5 na routeru. Pravděpodobně se to používá k usnadnění přenosu příkazů a řízení (C2, C&C) prostřednictvím routeru, aby bylo možné jej odhalit od dalšího agenta jinde.

Hrozivé schopnosti nalezené v HiatusRAT

Útok začíná nasazením bash skriptu, který stáhne a spustí malware RAT, což mu umožní shromáždit systém, síť, souborový systém a zpracovat data z napadeného routeru.

HiatusRAT také každých 8 hodin naváže komunikaci se serverem Command-and-Control a v případě úspěchu poskytuje útočníkům vzdálený přístup k dohledu nad infikovaným zařízením. Analýza zpětného inženýrství odhalila několik extrémně nebezpečných vlastností malwaru, včetně vytváření vzdálených shellů na infikovaných zařízeních, čtení/mazání/exfiltrace souborů na server C2, načítání a spouštění souborů ze serveru C2, spouštění skriptů ze serveru C2, přenos dat TCP. nastaví na místa předávání přes servery proxy SOCKS v5 nastavené na narušených směrovačích. Pokud se tak útočníci rozhodnou, mohou dát hrozbě pokyn, aby se sama ukončila.

Útočníci navíc používají SOCKS v5 proxy k přesunu dat z jiných narušených zařízení přes infikovaný router. To pomáhá zakrýt síťová data a napodobit legitimní akce. Organizace by si měly být vědomy této hrozby a přijmout opatření k zabezpečení svých sítí proti takovým útokům.