HiatusRAT

Kyberturvallisuusasiantuntijat ovat havainneet aiemmin tuntemattoman hyökkäyskampanjan, joka koskee vaarantuneita reitittimiä. Kampanja, joka tunnetaan nimellä "Hiatus", on monimutkainen ja kohdistuu yritystason reitittimiin. Se käyttää kahta vaarantunutta binaaritiedostoa, mukaan lukien etäkäyttötroijalainen (RAT), nimeltään "HiatusRAT", ja tcpdump-versio, joka voi suorittaa pakettien sieppauksen kohdelaitteella. Yksityiskohdat uhkaavasta kampanjasta ja siihen liittyvistä haittaohjelmista julkaistiin tietoturvatutkijan raportissa

Kun kohdejärjestelmät ovat saaneet tartunnan, HiatusRAT sallii uhkatekijän olla vuorovaikutuksessa laitteiden kanssa etäyhteyden kautta. Se käyttää valmiiksi rakennettuja toimintoja, jotka ovat erittäin epätavallisia muuttamaan vaarantuneet koneet uhkatoimijan peitellytyksi välityspalvelimeksi. Pakettikaappausbinaari mahdollistaa uhkatoimijoiden tarkkailla reitittimen liikennettä sähköpostiin ja tiedostojen siirtoon liittyvissä porteissa, mikä antaa heille mahdollisuuden varastaa luottamuksellisia tietoja.

Hyökkääjät tähtäävät käyttöiän päättyneisiin yritysreitittimiin

Hiatuksena tunnetun kampanjan kohteena ovat i386-arkkitehtuurilla toimivat DrayTek Vigor -mallit 2960 ja 3900. Infosec-tutkijat ovat kuitenkin havainneet myös valmiiksi rakennettuja binaareja, jotka kohdistuvat myös MIPS-, i386- ja ARM-pohjaisiin arkkitehtuureihin. Näitä reitittimiä käyttävät tyypillisesti keskisuuret yritykset, ja ne voivat tukea VPN-yhteyksiä sadoille etätyöntekijöille.

Kampanjan taustalla olevien uhkatekijöiden epäillään saastuttavan kiinnostavia kohteita keräämään dataa samalla kun ne kohdistuvat mahdollisuuksiin perustaa salainen välityspalvelin. Kampanja koostuu kolmesta pääkomponentista: hyödyntämisen jälkeen käyttöön otetusta bash-komentosarjasta, kahdesta bash-komentosarjan noudetusta suoritettavasta tiedostosta - HiatusRAT ja tcpdump-versiosta, joka mahdollistaa pakettien sieppauksen.

Analyysin jälkeen havaittiin, että HiatusRAT palvelee kahta ensisijaista tarkoitusta. Ensinnäkin se antaa näyttelijälle mahdollisuuden olla etävuorovaikutuksessa asianomaisen laitteen kanssa, jolloin hän voi ladata tiedostoja tai suorittaa mielivaltaisia komentoja. Toiseksi se voi toimia SOCKS5-välityspalvelimena reitittimessä. Tätä käytetään todennäköisesti helpottamaan Command-and-Control (C2, C&C) -liikenteen välityspalvelinta reitittimen kautta, jotta se voidaan hämärtää muualta lisäagentilta.

HiatusRATista löydetyt uhkaavat ominaisuudet

Hyökkäys alkaa bash-skriptin käyttöönotolla, joka lataa ja suorittaa RAT-haittaohjelman, jolloin se voi kerätä järjestelmän, verkon, tiedostojärjestelmän ja käsitellä tietoja vaarantuneelta reitittimeltä.

HiatusRAT muodostaa myös yhteyden Command-and-Control-palvelimen kanssa 8 tunnin välein ja, jos se onnistuu, antaa hyökkääjille etäkäytön tartunnan saaneen laitteen valvomiseksi. Reverse engineering -analyysi paljasti useita äärimmäisen vaarallisia haittaohjelman ominaisuuksia, mukaan lukien etäkuorien synnyttäminen tartunnan saaneille laitteille, tiedostojen lukeminen/poistaminen/suodattaminen C2-palvelimelle, tiedostojen hakeminen ja suorittaminen C2-palvelimelta, komentosarjojen suorittaminen C2-palvelimelta, TCP-tietojen lähettäminen. asettaa edelleenlähetyssijainteihin rikkoutuneille reitittimille asetettujen SOCKS v5 -välityspalvelinten kautta. Jos hyökkääjät päättävät tehdä niin, he voivat käskeä uhan lopettamaan itsensä.

Lisäksi hyökkääjät käyttävät SOCKS v5 -välityspalvelimia siirtääkseen tietoja muista rikkoutuneista laitteista tartunnan saaneen reitittimen kautta. Tämä auttaa peittämään verkkotiedot ja jäljittelemään laillisia toimia. Organisaatioiden tulee olla tietoisia tästä uhasta ja ryhtyä toimiin suojatakseen verkkonsa tällaisilta hyökkäyksiltä.