HiatusRAT

Kiberdrošības eksperti ir atklājuši iepriekš nezināmu uzbrukuma kampaņu, kurā ir iesaistīti apdraudēti maršrutētāji. Kampaņa, kas pazīstama ar nosaukumu "Hiatus", ir sarežģīta un paredzēta biznesa līmeņa maršrutētājiem. Tas izvieto divus apdraudētus bināros failus, tostarp attālās piekļuves Trojas zirgu (RAT), ko sauc par "HiatusRAT", un tcpdump variantu, kas var veikt pakešu uztveršanu mērķa ierīcē. Sīkāka informācija par draudu kampaņu un iesaistīto ļaunprogrammatūru tika publicēta drošības pētnieka ziņojumā

Kad mērķa sistēmas ir inficētas, HiatusRAT ļauj apdraudējuma dalībniekam attālināti mijiedarboties ar ierīcēm. Tas izmanto iepriekš iebūvētu funkcionalitāti, kas ir ļoti neparasta, lai pārveidotu apdraudētās mašīnas par slēptu draudu izpildītāja starpniekserveri. Pakešu uztveršanas binārais fails ļauj apdraudējuma dalībniekiem pārraudzīt maršrutētāja trafiku portos, kas saistīti ar e-pasta un failu pārsūtīšanas sakariem, efektīvi dodot viņiem iespēju nozagt konfidenciālu informāciju.

Uzbrucēji ir vērsti uz nolietotiem biznesa maršrutētājiem

Kampaņa, kas pazīstama kā Hiatus, ir vērsta uz nolietotiem DrayTek Vigor modeļiem 2960 un 3900, kas darbojas ar i386 arhitektūru. Tomēr infosec pētnieki ir novērojuši arī iepriekš izveidotus bināros failus, kas arī ir paredzēti MIPS, i386 un ARM balstītām arhitektūrām. Šos maršrutētājus parasti izmanto vidējie uzņēmumi, un tie var atbalstīt VPN savienojumus simtiem attālināto darbinieku.

Pastāv aizdomas, ka kampaņas apdraudējuma dalībnieki inficē interesējošos mērķus, lai vāktu datus, vienlaikus mērķējot uz iespējām izveidot slēptu starpniekserveru tīklu. Kampaņa sastāv no trim galvenajām sastāvdaļām: bash skripts, kas izvietots pēc ekspluatācijas, divi izpildāmie faili, kas iegūti ar bash skriptu — HiatusRAT, un tcpdump variants, kas nodrošina pakešu uztveršanu.

Pēc analīzes tika konstatēts, ka HiatusRAT kalpo diviem galvenajiem mērķiem. Pirmkārt, tas ļauj aktierim attālināti mijiedarboties ar ietekmēto ierīci, ļaujot lejupielādēt failus vai palaist patvaļīgas komandas. Otrkārt, tas var darboties kā SOCKS5 starpniekserveris maršrutētājā. Tas, visticamāk, tiek izmantots, lai atvieglotu Command-and-Control (C2, C&C) trafika starpniekserveri caur maršrutētāju, lai to aizsegtu no papildu aģenta citur.

HiatusRAT atrastās draudošās iespējas

Uzbrukums sākas ar bash skripta izvietošanu, kas lejupielādē un izpilda RAT ļaunprātīgu programmatūru, ļaujot tai apkopot sistēmu, tīklu, failu sistēmu un apstrādāt datus no apdraudētā maršrutētāja.

HiatusRAT arī izveido saziņu ar komandu un vadības serveri ik pēc 8 stundām un, ja tas izdodas, nodrošina uzbrucējiem attālo piekļuvi inficētās ierīces uzraudzībai. Reversās inženierijas analīze atklāja vairākas ārkārtīgi bīstamas ļaunprātīgas programmatūras iezīmes, tostarp attālu čaulu veidošanu inficētajās ierīcēs, failu lasīšanu/dzēšanu/eksfiltrēšanu uz C2 serveri, failu ienešanu un izpildi no C2 servera, skriptu izpildi no C2 servera, TCP datu pārsūtīšanu. iestata uz pārsūtīšanas vietām, izmantojot SOCKS v5 starpniekserverus, kas iestatīti bojātiem maršrutētājiem. Ja uzbrucēji nolemj to darīt, viņi var likt draudiem pārtraukt sevi.

Turklāt uzbrucēji izmanto SOCKS v5 starpniekserverus, lai pārvietotu datus no citām bojātām ierīcēm caur inficēto maršrutētāju. Tas palīdz aizēnot tīkla datus un imitēt likumīgas darbības. Organizācijām ir jāapzinās šie draudi un jāveic pasākumi, lai aizsargātu savus tīklus pret šādiem uzbrukumiem.