HiatusRAT

Eksperter på nettsikkerhet har oppdaget en tidligere ukjent angrepskampanje som involverer kompromitterte rutere. Kampanjen, kjent som "Hiatus", er kompleks og retter seg mot rutere av bedriftskvalitet. Den distribuerer to kompromitterte binærfiler, inkludert en Remote Access Trojan (RAT) kalt 'HiatusRAT' og en variant av tcpdump som kan utføre pakkefangst på målenheten. Detaljer om den truende kampanjen og den involverte skadevare ble utgitt i en rapport fra en sikkerhetsforsker

Når de målrettede systemene er infisert, lar HiatusRAT trusselaktøren kommunisere eksternt med enhetene. Den bruker forhåndsbygd funksjonalitet som er svært uvanlig for å konvertere de kompromitterte maskinene til en skjult proxy for trusselaktøren. Pakkefangst-binæren lar trusselaktørene overvåke rutertrafikk på porter knyttet til e-post og filoverføringskommunikasjon, og gir dem effektivt muligheten til å stjele konfidensiell informasjon.

Angriperne retter seg mot forretningsrutere for slutten av livet

Kampanjen kjent som Hiatus retter seg mot utgåtte DrayTek Vigor-modeller 2960 og 3900, som opererer på en i386-arkitektur. Imidlertid har infosec-forskere også observert forhåndsbygde binære filer som også retter seg mot MIPS, i386 og ARM-baserte arkitekturer. Disse ruterne brukes vanligvis av mellomstore bedrifter og kan støtte VPN-tilkoblinger for hundrevis av eksterne arbeidere.

Det er mistanke om at trusselaktørene bak kampanjen infiserer mål av interesse for å samle inn data samtidig som de retter seg mot muligheter for å etablere et skjult proxy-nettverk. Kampanjen består av tre hovedkomponenter: et bash-skript utplassert etter utnyttelse, to kjørbare filer hentet av bash-skriptet - HiatusRAT og en variant av tcpdump som muliggjør pakkefangst.

Ved analyse ble det funnet at HiatusRAT tjener to primære formål. For det første lar det skuespilleren kommunisere eksternt med den berørte enheten, slik at de kan laste ned filer eller kjøre vilkårlige kommandoer. For det andre kan den fungere som en SOCKS5 proxy-enhet på ruteren. Dette brukes sannsynligvis for å lette proxy-overføring av Command-and-Control (C2, C&C) trafikk gjennom ruteren for å skjule den fra en ekstra agent andre steder.

De truende egenskapene funnet i HiatusRAT

Angrepet begynner med utrullingen av et bash-skript som laster ned og kjører RAT-malwaren, slik at den kan samle inn systemet, nettverket, filsystemet og behandle data fra den kompromitterte ruteren.

HiatusRAT etablerer også kommunikasjon med en Command-and-Control-server hver 8. time og, hvis det lykkes, gir angriperne ekstern tilgang til å overvåke den infiserte enheten. Omvendt ingeniøranalyse avslørte flere ekstremt farlige funksjoner ved skadelig programvare, inkludert gyting av eksterne skjell på infiserte enheter, lesing/sletting/eksfiltrering av filer til C2-serveren, henting og utførelse av filer fra C2-serveren, kjøring av skript fra C2-serveren, overføring av TCP-data setter til å videresende lokasjoner gjennom SOCKS v5-proxyer satt opp på rutere som brytes. Hvis angriperne bestemmer seg for å gjøre det, kan de instruere trusselen om å avslutte seg selv.

I tillegg bruker angriperne SOCKS v5-proxyer for å flytte data fra andre enheter som brytes gjennom den infiserte ruteren. Dette bidrar til å skjule nettverksdata og imitere legitime handlinger. Organisasjoner bør være oppmerksomme på denne trusselen og iverksette tiltak for å sikre nettverkene sine mot slike angrep.