HiatusRAT

Stručnjaci za kibernetičku sigurnost otkrili su dosad nepoznatu kampanju napada koja uključuje kompromitirane usmjerivače. Kampanja, poznata kao 'Hiatus', složena je i cilja na usmjerivače poslovne razine. Uvodi dvije kompromitirane binarne datoteke, uključujući trojanca za udaljeni pristup (RAT) pod nazivom 'HiatusRAT' i varijantu tcpdumpa koja može izvršiti snimanje paketa na ciljnom uređaju. Pojedinosti o prijetećoj kampanji i uključenom zlonamjernom softveru objavljeni su u izvješću sigurnosnog istraživača

Nakon što su ciljani sustavi zaraženi, HiatusRAT omogućuje akteru prijetnje daljinsku interakciju s uređajima. Koristi unaprijed izgrađenu funkcionalnost koja je vrlo neuobičajena za pretvaranje kompromitiranih strojeva u tajni proxy za aktera prijetnje. Binarna datoteka za hvatanje paketa omogućuje akterima prijetnji da nadziru promet usmjerivača na priključcima povezanim s e-poštom i komunikacijom za prijenos datoteka, učinkovito im dajući mogućnost krađe povjerljivih informacija.

Napadači ciljaju poslovne usmjerivače na kraju životnog vijeka

Kampanja poznata kao Hiatus cilja na DrayTek Vigor modele 2960 i 3900 koji rade na i386 arhitekturi. Međutim, istraživači infoseca također su primijetili unaprijed izgrađene binarne datoteke koje također ciljaju na MIPS, i386 i arhitekture temeljene na ARM-u. Ove usmjerivače obično koriste srednje velike tvrtke i mogu podržati VPN veze za stotine udaljenih radnika.

Sumnja se da akteri prijetnji koji stoje iza kampanje inficiraju mete od interesa za prikupljanje podataka, dok također ciljaju prilike za uspostavljanje tajne proxy mreže. Kampanja se sastoji od tri glavne komponente: bash skripta postavljena nakon eksploatacije, dvije izvršne datoteke koje dohvaća bash skripta - HiatusRAT i varijanta tcpdump koja omogućuje hvatanje paketa.

Nakon analize, utvrđeno je da HiatusRAT služi u dvije osnovne svrhe. Prvo, omogućuje akteru daljinsku interakciju s pogođenim uređajem, omogućujući mu preuzimanje datoteka ili pokretanje proizvoljnih naredbi. Drugo, može raditi kao SOCKS5 proxy uređaj na ruteru. Ovo se vjerojatno koristi za olakšavanje proxyja Command-and-Control (C2, C&C) prometa kroz usmjerivač kako bi ga prikrili od dodatnog agenta negdje drugdje.

Prijeteće mogućnosti pronađene u HiatusRAT-u

Napad počinje implementacijom bash skripte koja preuzima i izvršava RAT zlonamjerni softver, dopuštajući mu da prikupi sustav, mrežu, datotečni sustav i obradi podatke s kompromitiranog usmjerivača.

HiatusRAT također uspostavlja komunikaciju s Command-and-Control poslužiteljem svakih 8 sati i, ako je uspješan, daje napadačima daljinski pristup za nadzor zaraženog uređaja. Analiza obrnutog inženjeringa otkrila je nekoliko iznimno opasnih značajki zlonamjernog softvera, uključujući stvaranje udaljenih ljuski na zaraženim uređajima, čitanje/brisanje/izbacivanje datoteka na C2 poslužitelj, dohvaćanje i izvršavanje datoteka s C2 poslužitelja, izvršavanje skripti s C2 poslužitelja, prijenos TCP podataka postavlja se na prosljeđivanje lokacija putem SOCKS v5 proxyja postavljenih na oštećenim usmjerivačima. Ako napadači odluče to učiniti, mogu uputiti prijetnju da se sama prekine.

Dodatno, napadači koriste SOCKS v5 proxyje za premještanje podataka s drugih oštećenih uređaja kroz zaraženi usmjerivač. To pomaže prikriti mrežne podatke i oponašati legitimne radnje. Organizacije bi trebale biti svjesne ove prijetnje i poduzeti mjere za zaštitu svojih mreža od takvih napada.