HiatusRAT

Pakar keselamatan siber telah menemui kempen serangan yang tidak diketahui sebelum ini yang melibatkan penghala yang terjejas. Kempen yang dikenali sebagai 'Hiatus' adalah kompleks dan menyasarkan penghala gred perniagaan. Ia menggunakan dua binari yang terjejas, termasuk Trojan Akses Jauh (RAT) yang dipanggil 'HiatusRAT' dan varian tcpdump yang boleh menjalankan penangkapan paket pada peranti sasaran. Butiran tentang kempen mengancam dan perisian hasad yang terlibat telah dikeluarkan dalam laporan daripada penyelidik keselamatan

Setelah sistem yang disasarkan dijangkiti, HiatusRAT membenarkan pelaku ancaman berinteraksi dari jauh dengan peranti. Ia menggunakan fungsi prabina yang sangat luar biasa untuk menukar mesin yang terjejas menjadi proksi rahsia untuk pelaku ancaman. Perduaan tangkapan paket membolehkan pelaku ancaman memantau trafik penghala pada port yang dikaitkan dengan komunikasi e-mel dan pemindahan fail, dengan berkesan memberi mereka keupayaan untuk mencuri maklumat sulit.

Penyerang Menyasarkan Penghala Perniagaan Akhir Hayat

Kempen yang dikenali sebagai Hiatus menyasarkan model DrayTek Vigor 2960 dan 3900 akhir hayat, yang beroperasi pada seni bina i386. Walau bagaimanapun, penyelidik infosec juga telah memerhatikan binari binari yang turut menyasarkan seni bina berasaskan MIPS, i386 dan ARM. Penghala ini biasanya digunakan oleh perniagaan bersaiz sederhana dan boleh menyokong sambungan VPN untuk ratusan pekerja jauh.

Adalah disyaki bahawa pelaku ancaman di sebalik kempen menjangkiti sasaran yang diminati untuk mengumpul data sambil turut menyasarkan peluang untuk mewujudkan rangkaian proksi rahsia. Kempen ini terdiri daripada tiga komponen utama: skrip bash yang digunakan selepas eksploitasi, dua boleh laku yang diambil oleh skrip bash - HiatusRAT dan varian tcpdump yang membolehkan penangkapan paket.

Setelah dianalisis, didapati bahawa HiatusRAT mempunyai dua tujuan utama. Pertama, ia membolehkan pelakon berinteraksi dari jauh dengan peranti yang terjejas, membolehkan mereka memuat turun fail atau menjalankan arahan sewenang-wenangnya. Kedua, ia boleh beroperasi sebagai peranti proksi SOCKS5 pada penghala. Ini mungkin digunakan untuk memudahkan trafik Perintah-dan-Kawalan (C2, C&C) melalui proksi melalui penghala untuk mengelirukannya daripada ejen tambahan di tempat lain.

Keupayaan Mengancam Ditemui dalam HiatusRAT

Serangan bermula dengan penggunaan skrip bash yang memuat turun dan melaksanakan perisian hasad RAT, membolehkannya mengumpul sistem, rangkaian, sistem fail dan memproses data daripada penghala yang terjejas.

HiatusRAT juga mewujudkan komunikasi dengan pelayan Command-and-Control setiap 8 jam dan, jika berjaya, memberikan penyerang akses jauh untuk mengawasi peranti yang dijangkiti. Analisis kejuruteraan songsang mendedahkan beberapa ciri perisian hasad yang sangat berbahaya, termasuk memunculkan cangkerang jauh pada peranti yang dijangkiti, membaca/memadam/mengeluarkan fail ke pelayan C2, mengambil dan melaksanakan fail daripada pelayan C2, melaksanakan skrip daripada pelayan C2, menghantar data TCP ditetapkan kepada pemajuan lokasi melalui proksi SOCKS v5 yang disediakan pada penghala yang dilanggar. Jika penyerang memutuskan untuk berbuat demikian, mereka boleh mengarahkan ancaman untuk menamatkan dirinya sendiri.

Selain itu, penyerang menggunakan proksi SOCKS v5 untuk mengalihkan data daripada peranti lain yang dilanggar melalui penghala yang dijangkiti. Ini membantu mengaburkan data rangkaian dan meniru tindakan yang sah. Organisasi harus sedar tentang ancaman ini dan mengambil langkah untuk melindungi rangkaian mereka daripada serangan sedemikian.