HiatusRAT

Cybersikkerhedseksperter har opdaget en hidtil ukendt angrebskampagne, der involverer kompromitterede routere. Kampagnen, kendt som 'Hiatus', er kompleks og retter sig mod business-grade routere. Den implementerer to kompromitterede binære filer, inklusive en Remote Access Trojan (RAT) kaldet 'HiatusRAT' og en variant af tcpdump, der kan udføre pakkefangst på målenheden. Detaljer om den truende kampagne og den involverede malware blev offentliggjort i en rapport fra en sikkerhedsforsker

Når de målrettede systemer er inficeret, tillader HiatusRAT trusselsaktøren at interagere eksternt med enhederne. Den bruger præbygget funktionalitet, der er meget usædvanlig til at konvertere de kompromitterede maskiner til en skjult proxy for trusselsaktøren. Pakkefangst-binæren giver trusselsaktørerne mulighed for at overvåge routertrafik på porte forbundet med e-mail- og filoverførselskommunikation, hvilket effektivt giver dem mulighed for at stjæle fortrolig information.

Angriberne er rettet mod end-of-life business routere

Kampagnen kendt som Hiatus er rettet mod udtjente DrayTek Vigor-modeller 2960 og 3900, som opererer på en i386-arkitektur. Infosec-forskere har dog også observeret forudbyggede binære filer, der også er målrettet mod MIPS, i386 og ARM-baserede arkitekturer. Disse routere bruges typisk af mellemstore virksomheder og kan understøtte VPN-forbindelser for hundredvis af fjernarbejdere.

Det er mistanke om, at trusselsaktørerne bag kampagnen inficerer mål af interesse for at indsamle data, mens de også målretter mod muligheder for at etablere et skjult proxy-netværk. Kampagnen består af tre hovedkomponenter: et bash-script implementeret efter udnyttelse, to eksekverbare filer hentet af bash-scriptet - HiatusRAT og en variant af tcpdump, der muliggør pakkefangst.

Ved analyse blev det fundet, at HiatusRAT tjener to primære formål. For det første giver det skuespilleren mulighed for at interagere eksternt med den berørte enhed, hvilket gør det muligt for dem at downloade filer eller køre vilkårlige kommandoer. For det andet kan den fungere som en SOCKS5 proxy-enhed på routeren. Dette bruges sandsynligvis til at lette proxy-betjening af Command-and-Control (C2, C&C) trafik gennem routeren for at sløre den fra en ekstra agent andre steder.

De truende egenskaber fundet i HiatusRAT

Angrebet begynder med implementeringen af et bash-script, der downloader og udfører RAT-malwaren, så den kan indsamle systemet, netværket, filsystemet og behandle data fra den kompromitterede router.

HiatusRAT etablerer også kommunikation med en Command-and-Control-server hver 8. time og giver, hvis det lykkes, angriberne fjernadgang til at overvåge den inficerede enhed. Omvendt konstruktionsanalyse afslørede adskillige ekstremt farlige egenskaber ved malwaren, herunder dannelse af eksterne skaller på inficerede enheder, læsning/sletning/eksfiltrering af filer til C2-serveren, hentning og eksekvering af filer fra C2-serveren, eksekvering af scripts fra C2-serveren, transmission af TCP-data indstiller til at videresende lokationer gennem SOCKS v5 proxyer, der er opsat på overtrådte routere. Hvis angriberne beslutter at gøre det, kan de instruere truslen om at afslutte sig selv.

Derudover bruger angriberne SOCKS v5 proxyer til at flytte data fra andre brudte enheder gennem den inficerede router. Dette hjælper med at skjule netværksdata og efterligne legitime handlinger. Organisationer bør være opmærksomme på denne trussel og træffe foranstaltninger for at sikre deres netværk mod sådanne angreb.