HiatusRAT

Küberturvalisuse eksperdid on avastanud seni tundmatu ründekampaania, mis hõlmab ohustatud ruutereid. Kampaania, mida tuntakse kui "Hiatus", on keeruline ja sihib äriklassi ruuterid. See juurutab kahte ohustatud binaarfaili, sealhulgas kaugjuurdepääsu trooja (RAT) nimega 'HiatusRAT' ja tcpdump'i varianti, mis suudab sihtseadmes pakette püüda. Üksikasjad ähvardava kampaania ja sellega seotud pahavara kohta avaldati turvauurija raportis

Kui sihitud süsteemid on nakatunud, võimaldab HiatusRAT ohutegijal seadmetega eemalt suhelda. See kasutab eelehitatud funktsioone, mis on väga ebatavalised, et teisendada ohustatud masinad ohus osaleja varjatud puhverserveriks. Paketthõive binaarfail võimaldab ohus osalejatel jälgida ruuteri liiklust e-posti ja failiedastusega seotud portides, andes neile tõhusa võimaluse varastada konfidentsiaalset teavet.

Ründajad sihivad kasutusel olevaid äriruutereid

Hiatuse nime all tuntud kampaania on suunatud kasutusea lõppenud DrayTek Vigor mudelitele 2960 ja 3900, mis töötavad i386 arhitektuuril. Infoseci teadlased on aga täheldanud ka eelehitatud binaarfaile, mis sihivad ka MIPS-i, i386- ja ARM-põhiseid arhitektuure. Neid ruutereid kasutavad tavaliselt keskmise suurusega ettevõtted ja need võivad toetada sadade kaugtöötajate VPN-ühendusi.

Arvatakse, et kampaania taga olevad ohustajad nakatavad huvipakkuvaid sihtmärke, et koguda andmeid, sihites samal ajal võimalusi varjatud puhverserveri võrgu loomiseks. Kampaania koosneb kolmest põhikomponendist: pärast ekspluateerimist juurutatud bash-skriptist, kahest bash-skripti abil hangitud käivitatavast failist - HiatusRAT ja tcpdump-i variandist, mis võimaldab pakettide hõivamist.

Analüüsil leiti, et HiatusRAT teenib kahte peamist eesmärki. Esiteks võimaldab see näitlejal mõjutatud seadmega eemalt suhelda, võimaldades neil faile alla laadida või suvalisi käske käivitada. Teiseks saab see ruuteris töötada SOCKS5 puhverserverina. Tõenäoliselt kasutatakse seda käsu-and-juhtimise (C2, C&C) liikluse puhverserveri hõlbustamiseks läbi ruuteri, et seda mujal asuva lisaagendi eest hägustada.

HiatusRATis leitud ähvardavad võimalused

Rünnak algab bash-skripti juurutamisega, mis laadib alla ja käivitab RAT-i pahavara, võimaldades sellel koguda süsteemi, võrku, failisüsteemi ja töödelda andmeid ohustatud ruuterist.

HiatusRAT loob iga 8 tunni järel ka side käsu- ja juhtimisserveriga ja annab edu korral ründajatele kaugjuurdepääsu nakatunud seadme järelevalveks. Pöördprojekteerimise analüüs näitas pahavara mitmeid äärmiselt ohtlikke omadusi, sealhulgas nakatunud seadmetesse kaugshellide loomine, failide lugemine/kustutamine/eksfiltreerimine C2 serverisse, failide toomine ja käivitamine C2 serverist, skriptide käivitamine C2 serverist, TCP andmete edastamine. seab edasisaatmiskohtadesse SOCKS v5 puhverserverite kaudu, mis on seadistatud rikutud ruuteritele. Kui ründajad otsustavad seda teha, saavad nad anda ohule korralduse end lõpetada.

Lisaks kasutavad ründajad SOCKS v5 puhverservereid, et edastada andmeid teistest rikutud seadmetest nakatunud ruuteri kaudu. See aitab varjata võrguandmeid ja imiteerida seaduslikke toiminguid. Organisatsioonid peaksid sellest ohust teadlikud olema ja võtma meetmeid oma võrkude kaitsmiseks selliste rünnakute eest.