HiatusRAT

کارشناسان امنیت سایبری یک کمپین حمله ناشناخته را کشف کرده اند که شامل روترهای در معرض خطر است. این کمپین که با نام "Hiatus" شناخته می شود، پیچیده است و روترهای درجه یک تجاری را هدف قرار می دهد. این دو باینری به خطر افتاده، از جمله یک تروجان دسترسی از راه دور (RAT) به نام «HiatusRAT» و یک نوع tcpdump را که می‌تواند ضبط بسته‌ها را روی دستگاه هدف انجام دهد، مستقر می‌کند. جزئیات مربوط به کمپین تهدیدآمیز و بدافزار درگیر در گزارشی از یک محقق امنیتی منتشر شد

هنگامی که سیستم های هدف آلوده می شوند، HiatusRAT به عامل تهدید اجازه می دهد تا از راه دور با دستگاه ها تعامل داشته باشد. از عملکرد از پیش ساخته شده ای استفاده می کند که برای تبدیل ماشین های در معرض خطر به یک پروکسی مخفی برای عامل تهدید بسیار غیرمعمول است. باینری ضبط بسته به عوامل تهدید اجازه می دهد تا ترافیک روتر در پورت های مرتبط با ایمیل و ارتباطات انتقال فایل را نظارت کنند و به طور موثر به آنها امکان سرقت اطلاعات محرمانه را می دهد.

مهاجمان روترهای تجاری پایان عمر را هدف قرار می دهند

کمپین موسوم به Hiatus مدل های پایان عمر DrayTek Vigor 2960 و 3900 را هدف قرار می دهد که بر اساس معماری i386 کار می کنند. با این حال، محققان infosec باینری های از پیش ساخته شده ای را نیز مشاهده کرده اند که معماری های مبتنی بر MIPS، i386 و ARM را نیز هدف قرار می دهند. این روترها معمولاً توسط مشاغل متوسط استفاده می شوند و می توانند اتصالات VPN را برای صدها کارگر راه دور پشتیبانی کنند.

گمان می رود که عوامل تهدید در پشت این کمپین، اهداف مورد علاقه را برای جمع آوری داده ها آلوده می کنند و در عین حال فرصت های ایجاد یک شبکه پروکسی مخفی را نیز هدف قرار می دهند. این کمپین از سه جزء اصلی تشکیل شده است: یک اسکریپت bash که پس از بهره برداری مستقر شده است، دو فایل اجرایی بازیابی شده توسط اسکریپت bash - HiatusRAT و گونه ای از tcpdump که ضبط بسته را امکان پذیر می کند.

پس از تجزیه و تحلیل، مشخص شد که HiatusRAT دو هدف اصلی را انجام می دهد. در مرحله اول، به بازیگر اجازه می دهد تا از راه دور با دستگاه آسیب دیده تعامل داشته باشد و آنها را قادر می سازد فایل ها را دانلود کنند یا دستورات دلخواه را اجرا کنند. ثانیا، می تواند به عنوان یک دستگاه پروکسی SOCKS5 روی روتر کار کند. این احتمالاً برای تسهیل پروکسی کردن ترافیک Command-and-Control (C2, C&C) از طریق روتر به منظور مبهم کردن آن از یک عامل اضافی در جای دیگر استفاده می شود.

قابلیت های تهدید آمیز موجود در HiatusRAT

حمله با استقرار یک اسکریپت bash شروع می شود که بدافزار RAT را دانلود و اجرا می کند و به آن اجازه می دهد تا سیستم، شبکه، سیستم فایل و پردازش داده ها را از روتر در معرض خطر جمع آوری کند.

HiatusRAT همچنین هر 8 ساعت یک بار با یک سرور Command-and-Control ارتباط برقرار می کند و در صورت موفقیت، به مهاجمان دسترسی از راه دور برای نظارت بر دستگاه آلوده را می دهد. تجزیه و تحلیل مهندسی معکوس چندین ویژگی بسیار خطرناک این بدافزار را نشان داد، از جمله ایجاد پوسته های راه دور بر روی دستگاه های آلوده، خواندن/حذف/خروج فایل ها به سرور C2، واکشی و اجرای فایل ها از سرور C2، اجرای اسکریپت ها از سرور C2، انتقال داده های TCP. از طریق پراکسی های SOCKS v5 که روی روترهای شکسته تنظیم شده اند، مکان های ارسال را تنظیم می کند. اگر مهاجمان تصمیم به انجام این کار بگیرند، می توانند به تهدید دستور دهند که خود را خاتمه دهد.

علاوه بر این، مهاجمان از پروکسی های SOCKS v5 برای انتقال داده ها از سایر دستگاه های نقض شده از طریق روتر آلوده استفاده می کنند. این به مبهم کردن داده های شبکه و تقلید از اقدامات قانونی کمک می کند. سازمان ها باید از این تهدید آگاه باشند و اقداماتی را برای ایمن سازی شبکه های خود در برابر چنین حملاتی انجام دهند.