HiatusRAT

Kibernetinio saugumo ekspertai atrado anksčiau nežinomą atakų kampaniją, kuri apima pažeistus maršrutizatorius. Kampanija, žinoma kaip „Hiatus“, yra sudėtinga ir skirta verslo klasės maršrutizatoriams. Jis diegia du pažeistus dvejetainius failus, įskaitant nuotolinės prieigos Trojos arklys (RAT), pavadintas „HiatusRAT“, ir tcpdump variantas, galintis fiksuoti paketus tiksliniame įrenginyje. Išsami informacija apie grėsmingą kampaniją ir su ja susijusią kenkėjišką programą buvo paskelbta saugumo tyrinėtojo ataskaitoje

Kai tikslinės sistemos yra užkrėstos, HiatusRAT leidžia grėsmės veikėjui nuotoliniu būdu bendrauti su įrenginiais. Jame naudojamos iš anksto sukurtos funkcijos, kurios yra labai neįprastos, kad pažeistas mašinas paverstų slaptu grėsmės veikėjo tarpiniu serveriu. Paketų fiksavimo dvejetainis failas leidžia grėsmės veikėjams stebėti maršrutizatoriaus srautą prievaduose, susijusiuose su el. pašto ir failų perdavimo ryšiais, taip veiksmingai suteikiant jiems galimybę pavogti konfidencialią informaciją.

Užpuolikai taikosi į nebenaudojamus verslo maršrutizatorius

Kampanija, žinoma kaip Hiatus, skirta nebenaudojamiems DrayTek Vigor 2960 ir 3900 modeliams, kurie veikia i386 architektūroje. Tačiau infosec tyrėjai taip pat pastebėjo iš anksto sukurtus dvejetainius failus, kurie taip pat taikomi MIPS, i386 ir ARM pagrįstoms architektūroms. Šiuos maršrutizatorius paprastai naudoja vidutinio dydžio įmonės ir jie gali palaikyti VPN ryšius šimtams nuotolinių darbuotojų.

Įtariama, kad kampanijos grėsmės veikėjai užkrečia dominančius taikinius, kad rinktų duomenis, o taip pat taikytųsi į galimybes sukurti slaptą tarpinio serverio tinklą. Kampaniją sudaro trys pagrindiniai komponentai: bash scenarijus, įdiegtas po išnaudojimo, du vykdomieji failai, gauti naudojant bash scenarijų – HiatusRAT ir tcpdump variantas, įgalinantis paketų fiksavimą.

Atlikus analizę buvo nustatyta, kad HiatusRAT atlieka du pagrindinius tikslus. Pirma, tai leidžia aktoriui nuotoliniu būdu bendrauti su paveiktu įrenginiu, leidžiančiu atsisiųsti failus arba vykdyti savavališkas komandas. Antra, jis gali veikti kaip SOCKS5 tarpinis serveris maršrutizatoriuje. Tikėtina, kad tai bus naudojama siekiant palengvinti tarpinio serverio komandų ir valdymo (C2, C&C) srautą per maršruto parinktuvą, kad būtų užmaskuotas papildomas agentas kitur.

„HiatusRAT“ aptiktos grėsmingos galimybės

Ataka prasideda įdiegus bash scenarijų, kuris atsisiunčia ir vykdo RAT kenkėjišką programą, leidžiančią rinkti sistemą, tinklą, failų sistemą ir apdoroti duomenis iš pažeisto maršrutizatoriaus.

„HiatusRAT“ taip pat užmezga ryšį su komandų ir valdymo serveriu kas 8 valandas ir, jei pavyks, užpuolikams suteikia nuotolinę prieigą, kad galėtų prižiūrėti užkrėstą įrenginį. Atvirkštinės inžinerijos analizė atskleidė keletą ypač pavojingų kenkėjiškų programų savybių, įskaitant nuotolinių apvalkalų atsiradimą užkrėstuose įrenginiuose, failų skaitymą / ištrynimą / išfiltravimą į C2 serverį, failų gavimą ir vykdymą iš C2 serverio, scenarijų vykdymą iš C2 serverio, TCP duomenų perdavimą. nustato persiuntimo vietas per SOCKS v5 tarpinius serverius, nustatytus pažeistuose maršrutizatoriuose. Jei užpuolikai taip nusprendžia, jie gali nurodyti, kad grasinimas pasibaigtų.

Be to, užpuolikai naudoja SOCKS v5 tarpinius serverius, norėdami perkelti duomenis iš kitų pažeistų įrenginių per užkrėstą maršrutizatorių. Tai padeda paslėpti tinklo duomenis ir imituoti teisėtus veiksmus. Organizacijos turėtų žinoti apie šią grėsmę ir imtis priemonių, kad apsaugotų savo tinklus nuo tokių atakų.