HiatusRAT

מומחי אבטחת סייבר גילו מסע תקיפה שלא היה ידוע בעבר, הכולל נתבים שנפגעו. הקמפיין, המכונה 'Hiatus', מורכב ומכוון לנתבים ברמה עסקית. הוא פורס שני קבצים בינאריים שנפגעו, כולל טרויאני גישה מרחוק (RAT) הנקרא 'HiatusRAT' וגרסה של tcpdump שיכולה לבצע לכידת מנות במכשיר היעד. פרטים על הקמפיין המאיים ועל התוכנה הזדונית המעורבת פורסמו בדו"ח של חוקר אבטחה

ברגע שהמערכות הממוקדות נדבקות, HiatusRAT מאפשר לשחקן האיום לקיים אינטראקציה מרחוק עם המכשירים. הוא משתמש בפונקציונליות בנויה מראש שהיא מאוד יוצאת דופן כדי להמיר את המכונות שנפרצו לשרת פרוקסי סמוי עבור שחקן האיום. הבינארי לכידת מנות מאפשרת לשחקני האיום לנטר את תעבורת הנתבים ביציאות הקשורות לתקשורת דואר אלקטרוני והעברת קבצים, ובכך למעשה נותן להם את היכולת לגנוב מידע סודי.

התוקפים מכוונים לנתבים עסקיים של סוף החיים

הקמפיין הידוע בשם Hiatus מכוון לדגמי DrayTek Vigor בסוף החיים 2960 ו-3900, הפועלים על ארכיטקטורת i386. עם זאת, חוקרי infosec צפו גם בקבצים בינאריים שנבנו מראש המכוונים גם לארכיטקטורות מבוססות MIPS, i386 ו-ARM. נתבים אלה משמשים בדרך כלל עסקים בינוניים ויכולים לתמוך בחיבורי VPN עבור מאות עובדים מרוחקים.

על פי החשד, גורמי האיום שמאחורי הקמפיין מדביקים יעדים מעניינים לאיסוף נתונים תוך מיקוד להזדמנויות להקמת רשת פרוקסי סמויה. הקמפיין מורכב משלושה מרכיבים עיקריים: סקריפט bash שנפרס לאחר ניצול, שני קובצי הפעלה שנשלפו על ידי סקריפט bash - HiatusRAT וגרסה של tcpdump המאפשרת לכידת מנות.

לאחר ניתוח, נמצא כי HiatusRAT משרתת שתי מטרות עיקריות. ראשית, זה מאפשר לשחקן לקיים אינטראקציה מרחוק עם המכשיר המושפע, מה שמאפשר לו להוריד קבצים או להפעיל פקודות שרירותיות. שנית, הוא יכול לפעול כמכשיר פרוקסי SOCKS5 בנתב. זה כנראה משמש כדי להקל על העברת תעבורת Command-and-Control (C2, C&C) דרך הנתב כדי לטשטש אותה מסוכן נוסף במקום אחר.

היכולות המאיימות שנמצאו ב-HiatusRAT

המתקפה מתחילה בפריסה של סקריפט bash שמוריד ומבצע את התוכנה הזדונית RAT, ומאפשר לה לאסוף את המערכת, הרשת, מערכת הקבצים ולעבד נתונים מהנתב שנפגע.

HiatusRAT גם יוצר תקשורת עם שרת Command-and-Control כל 8 שעות, ואם מצליח, נותן לתוקפים גישה מרחוק לפיקוח על המכשיר הנגוע. ניתוח הנדסה לאחור חשף כמה מאפיינים מסוכנים ביותר של התוכנה הזדונית, כולל השראת קליפות מרוחקות במכשירים נגועים, קריאה/מחיקה/הסתננות של קבצים לשרת C2, אחזור וביצוע קבצים משרת C2, ביצוע סקריפטים משרת C2, העברת נתוני TCP. מגדיר להעברת מיקומים באמצעות פרוקסי SOCKS v5 המוגדרים בנתבים שנפרצו. אם התוקפים מחליטים לעשות זאת, הם יכולים להורות לאיום לסיים את עצמו.

בנוסף, התוקפים משתמשים בפרוקסי SOCKS v5 כדי להעביר נתונים ממכשירים אחרים שנפרצו דרך הנתב הנגוע. זה עוזר לטשטש את נתוני הרשת ולחקות פעולות לגיטימיות. ארגונים צריכים להיות מודעים לאיום הזה ולנקוט באמצעים כדי לאבטח את הרשתות שלהם מפני התקפות כאלה.