HiatusRAT

साइबरसुरक्षा विशेषज्ञहरूले पहिलेको अज्ञात आक्रमण अभियान पत्ता लगाएका छन् जसमा सम्झौता राउटरहरू समावेश छन्। 'हियाटस' भनेर चिनिने यो अभियान जटिल छ र यसले व्यापार-ग्रेड राउटरहरूलाई लक्षित गर्दछ। यसले दुईवटा सम्झौता बाइनरीहरू तैनाथ गर्दछ, जसमा 'HiatusRAT' भनिने रिमोट एक्सेस ट्रोजन (RAT) र tcpdump को एक संस्करण जसले लक्षित उपकरणमा प्याकेट क्याप्चर गर्न सक्छ। धम्कीपूर्ण अभियान र संलग्न मालवेयर बारे विवरणहरू एक सुरक्षा अनुसन्धानकर्ताको रिपोर्टमा जारी गरिएको थियो

एकपटक लक्षित प्रणालीहरू संक्रमित भएपछि, HiatusRAT ले खतरा अभिनेतालाई उपकरणहरूसँग टाढाबाट अन्तरक्रिया गर्न अनुमति दिन्छ। यसले पूर्वनिर्मित कार्यक्षमता प्रयोग गर्दछ जुन खतरा अभिनेताको लागि कभर प्रोक्सीमा सम्झौता गरिएका मेसिनहरूलाई रूपान्तरण गर्न अत्यधिक असामान्य छ। प्याकेट-क्याप्चर बाइनरीले खतरा अभिनेताहरूलाई इमेल र फाइल-स्थानान्तरण संचारसँग सम्बन्धित पोर्टहरूमा राउटर ट्राफिक निगरानी गर्न अनुमति दिन्छ, प्रभावकारी रूपमा उनीहरूलाई गोप्य जानकारी चोरी गर्ने क्षमता प्रदान गर्दछ।

आक्रमणकारीहरूले जीवनको अन्त्य व्यवसाय राउटरहरूलाई लक्षित गर्छन्

Hiatus को रूपमा चिनिने अभियानले जीवनको अन्त्यको DrayTek Vigor मोडेल 2960 र 3900 लाई लक्षित गर्दछ, जुन i386 आर्किटेक्चरमा सञ्चालन हुन्छ। यद्यपि, इन्फोसेक अनुसन्धानकर्ताहरूले पूर्वनिर्मित बाइनरीहरू पनि अवलोकन गरेका छन् जसले MIPS, i386, र ARM-आधारित आर्किटेक्चरहरूलाई पनि लक्षित गर्दछ। यी राउटरहरू सामान्यतया मध्यम आकारका व्यवसायहरूद्वारा प्रयोग गरिन्छ र सयौं टाढाका कामदारहरूको लागि VPN जडानहरूलाई समर्थन गर्न सक्छ।

यो आशंका गरिएको छ कि अभियान पछाडि धम्की दिने कार्यकर्ताहरूले डाटा सङ्कलन गर्न चासोको लक्ष्यलाई संक्रमित गर्दछ र साथै गोप्य प्रोक्सी नेटवर्क स्थापना गर्ने अवसरहरूलाई लक्षित गर्दछ। अभियानमा तीनवटा मुख्य कम्पोनेन्टहरू हुन्छन्: ब्यास स्क्रिप्ट डिप्लोइड पोस्ट-एक्सप्लोइटेसन, ब्यास स्क्रिप्टद्वारा पुनःप्राप्त गरिएका दुई कार्यान्वयन योग्यहरू - HiatusRAT र tcpdump को एक संस्करण जसले प्याकेट क्याप्चर सक्षम गर्दछ।

विश्लेषण गर्दा, यो फेला पर्यो कि HiatusRAT ले दुई प्राथमिक उद्देश्यहरू पूरा गर्दछ। सर्वप्रथम, यसले अभिनेतालाई प्रभावित उपकरणसँग टाढाबाट अन्तरक्रिया गर्न अनुमति दिन्छ, तिनीहरूलाई फाइलहरू डाउनलोड गर्न वा मनमानी आदेशहरू चलाउन सक्षम पार्दै। दोस्रो, यसले राउटरमा SOCKS5 प्रोक्सी उपकरणको रूपमा काम गर्न सक्छ। यो सम्भवतः कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) ट्राफिकलाई राउटर मार्फत अन्य ठाउँमा अतिरिक्त एजेन्टबाट अस्पष्ट पार्नको लागि प्रोक्सी गर्ने सुविधाको लागि प्रयोग गरिन्छ।

HiatusRAT मा पाइने खतरा क्षमताहरू

आक्रमण बास स्क्रिप्टको तैनातीबाट सुरु हुन्छ जसले RAT मालवेयरलाई डाउनलोड र कार्यान्वयन गर्दछ, यसले प्रणाली, नेटवर्क, फाइल प्रणाली, र सम्झौता गरिएको राउटरबाट डाटा प्रक्रिया गर्न अनुमति दिन्छ।

HiatusRAT ले प्रत्येक 8 घण्टामा कमाण्ड-एन्ड-कन्ट्रोल सर्भरसँग सञ्चार पनि स्थापना गर्दछ र यदि सफल भएमा, आक्रमणकारीहरूलाई संक्रमित यन्त्रको निरीक्षण गर्न रिमोट पहुँच दिन्छ। रिभर्स इन्जिनियरिङ विश्लेषणले मालवेयरका धेरै खतरनाक विशेषताहरू पत्ता लगायो, जसमा संक्रमित यन्त्रहरूमा रिमोट शेलहरू फैलाउने, C2 सर्भरमा फाइलहरू पढ्ने/मेटाउने/एक्सफिल्ट गर्ने, C2 सर्भरबाट फाइलहरू ल्याउने र कार्यान्वयन गर्ने, C2 सर्भरबाट स्क्रिप्टहरू कार्यान्वयन गर्ने, TCP डाटा प्रसारण गर्नेलगायत। उल्लङ्घन गरिएका राउटरहरूमा सेटअप SOCKS v5 प्रोक्सीहरू मार्फत फर्वार्डिङ स्थानहरूमा सेट गर्दछ। यदि आक्रमणकारीहरूले त्यसो गर्ने निर्णय गरेमा, तिनीहरूले धम्कीलाई आफैं समाप्त गर्न निर्देशन दिन सक्छन्।

थप रूपमा, आक्रमणकारीहरूले संक्रमित राउटर मार्फत अन्य उल्लंघन गरिएका उपकरणहरूबाट डाटा सार्न SOCKS v5 प्रोक्सीहरू प्रयोग गर्छन्। यसले अस्पष्ट नेटवर्क डाटा र वैध कार्यहरूको नक्कल गर्न मद्दत गर्दछ। संगठनहरू यस खतराबाट सजग हुनुपर्छ र त्यस्ता आक्रमणहरू विरुद्ध तिनीहरूको सञ्जाल सुरक्षित गर्न उपायहरू लिनुपर्दछ।