HiatusRAT

Cyberbeveiligingsexperts hebben een voorheen onbekende aanvalscampagne ontdekt waarbij gecompromitteerde routers betrokken zijn. De campagne, bekend als 'Hiatus', is complex en richt zich op professionele routers. Het zet twee gecompromitteerde binaire bestanden in, waaronder een Remote Access Trojan (RAT) genaamd 'HiatusRAT' en een variant van tcpdump die pakketopname op het doelapparaat kan uitvoeren. Details over de dreigende campagne en de betrokken malware werden vrijgegeven in een rapport van een beveiligingsonderzoeker

Zodra de beoogde systemen zijn geïnfecteerd, stelt de HiatusRAT de bedreigingsactor in staat om op afstand met de apparaten te communiceren. Het maakt gebruik van vooraf gebouwde functionaliteit die hoogst ongebruikelijk is om de gecompromitteerde machines om te zetten in een geheime proxy voor de bedreigingsactor. Met het binaire bestand voor het vastleggen van pakketten kunnen de bedreigingsactoren het routerverkeer volgen op poorten die zijn gekoppeld aan e-mail- en bestandsoverdrachtcommunicatie, waardoor ze effectief in staat zijn om vertrouwelijke informatie te stelen.

De aanvallers richten zich op end-of-life zakelijke routers

De campagne die bekend staat als Hiatus richt zich op end-of-life DrayTek Vigor-modellen 2960 en 3900, die werken op een i386-architectuur. Infosec-onderzoekers hebben echter ook vooraf gebouwde binaire bestanden waargenomen die zich ook richten op MIPS-, i386- en ARM-gebaseerde architecturen. Deze routers worden meestal gebruikt door middelgrote bedrijven en kunnen VPN-verbindingen ondersteunen voor honderden externe medewerkers.

Het vermoeden bestaat dat de dreigingsactoren achter de campagne interessante doelwitten infecteren om gegevens te verzamelen, terwijl ze zich ook richten op kansen om een geheim proxy-netwerk op te zetten. De campagne bestaat uit drie hoofdcomponenten: een bash-script dat na de exploitatie wordt ingezet, twee uitvoerbare bestanden die worden opgehaald door het bash-script - HiatusRAT en een variant van tcpdump die het vastleggen van pakketten mogelijk maakt.

Na analyse bleek dat HiatusRAT twee primaire doelen dient. Ten eerste stelt het de actor in staat om op afstand te communiceren met het getroffen apparaat, waardoor ze bestanden kunnen downloaden of willekeurige opdrachten kunnen uitvoeren. Ten tweede kan het werken als een SOCKS5-proxy-apparaat op de router. Dit wordt waarschijnlijk gebruikt om het proxyen van Command-and-Control (C2, C&C)-verkeer via de router te vergemakkelijken om het te verbergen voor een extra agent elders.

De bedreigende mogelijkheden gevonden in HiatusRAT

De aanval begint met de inzet van een bash-script dat de RAT-malware downloadt en uitvoert, waardoor het systeem, netwerk, bestandssysteem en procesgegevens van de gecompromitteerde router kunnen worden verzameld.

HiatusRAT brengt ook elke 8 uur communicatie tot stand met een Command-and-Control-server en geeft, indien succesvol, de aanvallers toegang op afstand om toezicht te houden op het geïnfecteerde apparaat. Reverse engineering-analyse onthulde verschillende uiterst gevaarlijke kenmerken van de malware, waaronder het spawnen van externe shells op geïnfecteerde apparaten, het lezen/verwijderen/exfiltreren van bestanden naar de C2-server, het ophalen en uitvoeren van bestanden van de C2-server, het uitvoeren van scripts van de C2-server, het verzenden van TCP-gegevens wordt ingesteld op doorstuurlocaties via SOCKS v5-proxy's die zijn ingesteld op gehackte routers. Als de aanvallers besluiten dit te doen, kunnen ze de dreiging instrueren zichzelf te beëindigen.

Bovendien gebruiken de aanvallers SOCKS v5-proxy's om gegevens van andere gehackte apparaten via de geïnfecteerde router te verplaatsen. Dit helpt netwerkgegevens te verbergen en legitieme acties te imiteren. Organisaties dienen zich bewust te zijn van deze dreiging en maatregelen te nemen om hun netwerken te beveiligen tegen dergelijke aanvallen.