HiatusRAT

사이버 보안 전문가들이 손상된 라우터와 관련된 이전에 알려지지 않은 공격 캠페인을 발견했습니다. 'Hiatus'로 알려진 이 캠페인은 복잡하며 비즈니스급 라우터를 대상으로 합니다. 이는 'HiatusRAT'라는 RAT(원격 액세스 트로이 목마)와 대상 장치에서 패킷 캡처를 수행할 수 있는 tcpdump 변종을 포함하여 두 개의 손상된 바이너리를 배포합니다. 보안 연구원의 보고서에서 위협적인 캠페인 및 관련된 맬웨어에 대한 세부 정보가 공개되었습니다.

대상 시스템이 감염되면 HiatusRAT를 통해 공격자가 장치와 원격으로 상호 작용할 수 있습니다. 매우 이례적인 사전 구축 기능을 사용하여 손상된 시스템을 위협 행위자의 은밀한 프록시로 변환합니다. 패킷 캡처 바이너리를 통해 공격자는 이메일 및 파일 전송 통신과 관련된 포트에서 라우터 트래픽을 모니터링하여 효과적으로 기밀 정보를 훔칠 수 있습니다.

공격자들은 수명이 다한 비즈니스 라우터를 표적으로 삼습니다.

Hiatus로 알려진 캠페인은 i386 아키텍처에서 작동하는 단종된 DrayTek Vigor 모델 2960 및 3900을 대상으로 합니다. 그러나 infosec 연구원들은 MIPS, i386 및 ARM 기반 아키텍처를 대상으로 하는 미리 빌드된 바이너리도 관찰했습니다. 이러한 라우터는 일반적으로 중간 규모 기업에서 사용되며 수백 명의 원격 작업자를 위한 VPN 연결을 지원할 수 있습니다.

캠페인 배후의 위협 행위자는 관심 있는 대상을 감염시켜 데이터를 수집하는 동시에 은밀한 프록시 네트워크를 구축할 기회를 노리는 것으로 의심됩니다. 이 캠페인은 공격 후 배포된 bash 스크립트, bash 스크립트에 의해 검색된 두 개의 실행 파일인 HiatusRAT 및 패킷 캡처를 가능하게 하는 tcpdump 변형의 세 가지 주요 구성 요소로 구성됩니다.

분석 결과 HiatusRAT는 두 가지 주요 목적을 수행하는 것으로 나타났습니다. 첫째, 액터가 영향을 받는 장치와 원격으로 상호 작용하여 파일을 다운로드하거나 임의의 명령을 실행할 수 있습니다. 둘째, 라우터에서 SOCKS5 프록시 장치로 작동할 수 있습니다. 이는 라우터를 통해 명령 및 제어(C2, C&C) 트래픽 프록시를 용이하게 하여 다른 곳의 추가 에이전트로부터 트래픽을 난독화하는 데 사용될 수 있습니다.

HiatusRAT에서 발견된 위협적인 기능

이 공격은 RAT 악성코드를 다운로드하고 실행하는 bash 스크립트 배포로 시작하여 손상된 라우터에서 시스템, 네트워크, 파일 시스템 및 프로세스 데이터를 수집할 수 있도록 합니다.

HiatusRAT는 또한 8시간마다 명령 및 제어 서버와 통신을 설정하고 성공할 경우 공격자가 감염된 장치를 감독할 수 있는 원격 액세스를 제공합니다. 리버스 엔지니어링 분석 결과 감염된 장치에 원격 셸 생성, C2 서버로 파일 읽기/삭제/탈출, C2 서버에서 파일 가져오기 및 실행, C2 서버에서 스크립트 실행, TCP 데이터 전송 등 악성 코드의 몇 가지 매우 위험한 기능이 드러났습니다. 위반 라우터에 설정된 SOCKS v5 프록시를 통해 전달 위치로 설정합니다. 공격자가 그렇게 하기로 결정하면 위협 요소가 스스로 종료하도록 지시할 수 있습니다.

또한 공격자는 SOCKS v5 프록시를 사용하여 감염된 라우터를 통해 다른 위반 장치에서 데이터를 이동합니다. 이는 네트워크 데이터를 숨기고 합법적인 작업을 모방하는 데 도움이 됩니다. 조직은 이러한 위협을 인식하고 그러한 공격으로부터 네트워크를 보호하기 위한 조치를 취해야 합니다.