IatoRAT

Gli esperti di sicurezza informatica hanno scoperto una campagna di attacco precedentemente sconosciuta che coinvolge router compromessi. La campagna, nota come "Hiatus", è complessa e si rivolge ai router di livello aziendale. Distribuisce due binari compromessi, tra cui un Trojan ad accesso remoto (RAT) chiamato "HiatusRAT" e una variante di tcpdump che può eseguire l'acquisizione di pacchetti sul dispositivo di destinazione. I dettagli sulla campagna minacciosa e sul malware coinvolto sono stati rilasciati in un rapporto di un ricercatore di sicurezza

Una volta che i sistemi presi di mira sono stati infettati, HiatusRAT consente all'autore della minaccia di interagire in remoto con i dispositivi. Utilizza funzionalità predefinite che sono molto insolite per convertire le macchine compromesse in un proxy nascosto per l'autore della minaccia. Il binario di acquisizione dei pacchetti consente agli attori delle minacce di monitorare il traffico del router sulle porte associate alle comunicazioni di posta elettronica e di trasferimento file, dando loro effettivamente la possibilità di rubare informazioni riservate.

Gli aggressori prendono di mira i router aziendali a fine vita

La campagna nota come Hiatus prende di mira i modelli DrayTek Vigor 2960 e 3900 a fine vita, che operano su un'architettura i386. Tuttavia, i ricercatori di infosec hanno anche osservato binari predefiniti che prendono di mira anche architetture basate su MIPS, i386 e ARM. Questi router sono in genere utilizzati da aziende di medie dimensioni e possono supportare connessioni VPN per centinaia di lavoratori remoti.

Si sospetta che gli attori della minaccia dietro la campagna infettino obiettivi di interesse per raccogliere dati, prendendo di mira anche opportunità per stabilire una rete proxy segreta. La campagna è composta da tre componenti principali: uno script bash distribuito dopo lo sfruttamento, due eseguibili recuperati dallo script bash - HiatusRAT e una variante di tcpdump che consente la cattura dei pacchetti.

Dopo l'analisi, è emerso che HiatusRAT ha due scopi principali. In primo luogo, consente all'attore di interagire in remoto con il dispositivo interessato, consentendogli di scaricare file o eseguire comandi arbitrari. In secondo luogo, può funzionare come dispositivo proxy SOCKS5 sul router. Questo è probabilmente utilizzato per facilitare l'inoltro del traffico Command-and-Control (C2, C&C) attraverso il router al fine di offuscarlo da un agente aggiuntivo altrove.

Le capacità minacciose trovate in HiatusRAT

L'attacco inizia con l'implementazione di uno script bash che scarica ed esegue il malware RAT, consentendogli di raccogliere il sistema, la rete, il file system ed elaborare i dati dal router compromesso.

HiatusRAT stabilisce inoltre una comunicazione con un server di comando e controllo ogni 8 ore e, in caso di successo, fornisce agli aggressori l'accesso remoto per supervisionare il dispositivo infetto. L'analisi di reverse engineering ha rivelato diverse caratteristiche estremamente pericolose del malware, tra cui la generazione di shell remote su dispositivi infetti, la lettura/eliminazione/esfiltrazione di file sul server C2, il recupero e l'esecuzione di file dal server C2, l'esecuzione di script dal server C2, la trasmissione di dati TCP set per inoltrare posizioni tramite proxy SOCKS v5 impostati su router violati. Se gli aggressori decidono di farlo, possono ordinare alla minaccia di terminare da sola.

Inoltre, gli aggressori utilizzano i proxy SOCKS v5 per spostare i dati da altri dispositivi violati attraverso il router infetto. Questo aiuta a oscurare i dati di rete e imitare azioni legittime. Le organizzazioni dovrebbero essere consapevoli di questa minaccia e adottare misure per proteggere le proprie reti da tali attacchi.