HiatusRAT

Kiberbiztonsági szakértők egy korábban ismeretlen támadási kampányt fedeztek fel, amely feltört útválasztókat érint. A „Hiatus” néven ismert kampány összetett, és üzleti szintű útválasztókat céloz meg. Két kompromittált bináris fájlt telepít, köztük a „HiatusRAT” nevű távelérési trójai programot (RAT) és a tcpdump egy olyan változatát, amely képes csomagrögzítést végrehajtani a céleszközön. A fenyegető kampányról és az érintett kártevőről egy biztonsági kutató jelentésében hozták nyilvánosságra a részleteket

Miután a megcélzott rendszerek megfertőződtek, a HiatusRAT lehetővé teszi a fenyegetés szereplői számára, hogy távolról kommunikáljon az eszközökkel. Előre beépített funkciókat használ, amelyek rendkívül szokatlanok, hogy a kompromittált gépeket a fenyegetés szereplőjének titkos proxyjává alakítsák. A csomagrögzítő bináris lehetővé teszi a fenyegetés szereplői számára, hogy nyomon kövessék az útválasztó forgalmát az e-mail- és fájlátviteli kommunikációhoz kapcsolódó portokon, így hatékonyan képesek bizalmas információk ellopására.

A támadók célpontja a lejáratott üzleti útválasztó

A Hiatus néven ismert kampány a DrayTek Vigor 2960 és 3900 modelleket célozza meg, amelyek i386 architektúrán működnek. Az infosec kutatói azonban olyan előre elkészített bináris fájlokat is megfigyeltek, amelyek a MIPS, i386 és ARM alapú architektúrákat is megcélozzák. Ezeket az útválasztókat jellemzően középvállalkozások használják, és több száz távoli alkalmazott VPN-kapcsolatát támogatják.

A gyanú szerint a kampány mögött álló fenyegetés szereplői megfertőzik az érdeklődésre számot tartó célpontokat, hogy adatokat gyűjtsenek, miközben egy titkos proxy hálózat létrehozásának lehetőségét is megcélozzák. A kampány három fő összetevőből áll: a kihasználás után telepített bash szkriptből, két végrehajtható fájlból, amelyet a bash szkript – HiatusRAT – és a tcpdump csomagrögzítést lehetővé tevő változata.

Az elemzés során kiderült, hogy a HiatusRAT két elsődleges célt szolgál. Először is, lehetővé teszi a szereplő számára, hogy távolról kommunikáljon az érintett eszközzel, lehetővé téve számára, hogy letöltsön fájlokat vagy tetszőleges parancsokat futtasson. Másodszor, SOCKS5 proxy eszközként működhet az útválasztón. Ez valószínűleg a Command-and-Control (C2, C&C) forgalom proxyjának megkönnyítésére szolgál az útválasztón keresztül, hogy elhomályosítsa azt egy másik ügynöktől.

A HiatusRAT-ban található fenyegető képességek

A támadás egy bash szkript telepítésével kezdődik, amely letölti és végrehajtja a RAT kártevőt, lehetővé téve a rendszer, a hálózat, a fájlrendszer összegyűjtését és az adatok feldolgozását a feltört útválasztóról.

A HiatusRAT ezenkívül 8 óránként kommunikációt létesít egy Command-and-Control szerverrel, és ha sikeres, távoli hozzáférést biztosít a támadóknak a fertőzött eszköz felügyeletéhez. A visszafejtési elemzés a kártevő számos rendkívül veszélyes funkcióját tárta fel, beleértve a távoli shell megjelenését a fertőzött eszközökön, fájlok beolvasását/törlését/kiszűrését a C2 szerverre, fájlok lekérését és végrehajtását a C2 szerverről, szkriptek végrehajtását a C2 szerverről, TCP adatok továbbítását. továbbítási helyekre állítja be a feltört útválasztókon beállított SOCKS v5 proxykon keresztül. Ha a támadók így döntenek, utasíthatják a fenyegetést, hogy szüntesse meg magát.

Ezenkívül a támadók SOCKS v5 proxykat használnak az adatok más, feltört eszközökről történő áthelyezésére a fertőzött útválasztón keresztül. Ez segít elfedni a hálózati adatokat és utánozni a jogszerű műveleteket. A szervezeteknek tudatában kell lenniük ennek a fenyegetésnek, és intézkedéseket kell tenniük hálózataik védelmére az ilyen támadásokkal szemben.