HiatusRAT

ਸਾਈਬਰਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਨੇ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ ਜਿਸ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰ ਸ਼ਾਮਲ ਹਨ। ਮੁਹਿੰਮ, ਜਿਸ ਨੂੰ 'ਹਾਇਟਸ' ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਗੁੰਝਲਦਾਰ ਹੈ ਅਤੇ ਵਪਾਰਕ-ਗਰੇਡ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਦੋ ਸਮਝੌਤਾ ਕੀਤੇ ਬਾਈਨਰੀਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) 'HiatusRAT' ਅਤੇ tcpdump ਦਾ ਇੱਕ ਰੂਪ ਸ਼ਾਮਲ ਹੈ ਜੋ ਟਾਰਗੇਟ ਡਿਵਾਈਸ 'ਤੇ ਪੈਕੇਟ ਕੈਪਚਰ ਕਰ ਸਕਦਾ ਹੈ। ਧਮਕੀ ਦੇਣ ਵਾਲੀ ਮੁਹਿੰਮ ਅਤੇ ਇਸ ਵਿੱਚ ਸ਼ਾਮਲ ਮਾਲਵੇਅਰ ਬਾਰੇ ਵੇਰਵੇ ਇੱਕ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਦੀ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਸਨ

ਇੱਕ ਵਾਰ ਨਿਯਤ ਪ੍ਰਣਾਲੀਆਂ ਦੇ ਸੰਕਰਮਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, HiatusRAT ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੂੰ ਡਿਵਾਈਸਾਂ ਨਾਲ ਰਿਮੋਟ ਤੋਂ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਇਹ ਪੂਰਵ-ਬਿਲਟ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਲਈ ਸਮਝੌਤਾ ਕਰਨ ਵਾਲੀਆਂ ਮਸ਼ੀਨਾਂ ਨੂੰ ਇੱਕ ਗੁਪਤ ਪ੍ਰੌਕਸੀ ਵਿੱਚ ਬਦਲਣ ਲਈ ਬਹੁਤ ਹੀ ਅਸਾਧਾਰਨ ਹੈ। ਪੈਕੇਟ-ਕੈਪਚਰ ਬਾਈਨਰੀ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਈਮੇਲ ਅਤੇ ਫਾਈਲ-ਟ੍ਰਾਂਸਫਰ ਸੰਚਾਰ ਨਾਲ ਜੁੜੇ ਪੋਰਟਾਂ 'ਤੇ ਰਾਊਟਰ ਟ੍ਰੈਫਿਕ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਗੁਪਤ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਦਿੰਦਾ ਹੈ।

ਹਮਲਾਵਰ ਜ਼ਿੰਦਗੀ ਦੇ ਅੰਤ ਦੇ ਕਾਰੋਬਾਰੀ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ

Hiatus ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਮੁਹਿੰਮ ਜ਼ਿੰਦਗੀ ਦੇ ਅੰਤ ਦੇ ਡਰਾਇਟੈਕ ਵਿਗੋਰ ਮਾਡਲਾਂ 2960 ਅਤੇ 3900 ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ, ਜੋ ਇੱਕ i386 ਆਰਕੀਟੈਕਚਰ 'ਤੇ ਕੰਮ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ, infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੂਰਵ-ਬਿਲਟ ਬਾਈਨਰੀਆਂ ਨੂੰ ਵੀ ਦੇਖਿਆ ਹੈ ਜੋ MIPS, i386, ਅਤੇ ARM- ਅਧਾਰਿਤ ਆਰਕੀਟੈਕਚਰ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਰਾਊਟਰ ਆਮ ਤੌਰ 'ਤੇ ਮੱਧਮ ਆਕਾਰ ਦੇ ਕਾਰੋਬਾਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਂਦੇ ਹਨ ਅਤੇ ਸੈਂਕੜੇ ਰਿਮੋਟ ਵਰਕਰਾਂ ਲਈ VPN ਕਨੈਕਸ਼ਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰ ਸਕਦੇ ਹਨ।

ਇਹ ਸ਼ੱਕ ਹੈ ਕਿ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਦਿਲਚਸਪੀ ਦੇ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੇ ਹਨ ਜਦੋਂ ਕਿ ਇੱਕ ਗੁਪਤ ਪ੍ਰੌਕਸੀ ਨੈਟਵਰਕ ਸਥਾਪਤ ਕਰਨ ਦੇ ਮੌਕਿਆਂ ਨੂੰ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ। ਮੁਹਿੰਮ ਵਿੱਚ ਤਿੰਨ ਮੁੱਖ ਭਾਗ ਹਨ: ਇੱਕ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਤੈਨਾਤ ਪੋਸਟ-ਸ਼ੋਸ਼ਣ, ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤੇ ਦੋ ਐਗਜ਼ੀਕਿਊਟੇਬਲ - HiatusRAT ਅਤੇ tcpdump ਦਾ ਇੱਕ ਰੂਪ ਜੋ ਪੈਕੇਟ ਕੈਪਚਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਵਿਸ਼ਲੇਸ਼ਣ 'ਤੇ, ਇਹ ਪਾਇਆ ਗਿਆ ਕਿ HiatusRAT ਦੋ ਮੁੱਖ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦਾ ਹੈ। ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਇਹ ਅਭਿਨੇਤਾ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸ ਨਾਲ ਰਿਮੋਟਲੀ ਇੰਟਰੈਕਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਜਾਂ ਆਰਬਿਟਰੇਰੀ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਦੂਜਾ, ਇਹ ਰਾਊਟਰ 'ਤੇ SOCKS5 ਪ੍ਰੌਕਸੀ ਡਿਵਾਈਸ ਦੇ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਰਾਊਟਰ ਰਾਹੀਂ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2, C&C) ਟ੍ਰੈਫਿਕ ਨੂੰ ਪ੍ਰੌਕਸੀ ਕਰਨ ਦੀ ਸਹੂਲਤ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ ਤਾਂ ਜੋ ਇਸ ਨੂੰ ਕਿਸੇ ਹੋਰ ਏਜੰਟ ਤੋਂ ਅਸਪਸ਼ਟ ਕੀਤਾ ਜਾ ਸਕੇ।

HiatusRAT ਵਿੱਚ ਮਿਲੀਆਂ ਧਮਕੀਆਂ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਹਮਲਾ ਇੱਕ ਬੈਸ਼ ਸਕ੍ਰਿਪਟ ਦੀ ਤੈਨਾਤੀ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ RAT ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਲਾਗੂ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰ ਤੋਂ ਸਿਸਟਮ, ਨੈਟਵਰਕ, ਫਾਈਲ ਸਿਸਟਮ ਅਤੇ ਪ੍ਰਕਿਰਿਆ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰ ਸਕਦਾ ਹੈ।

HiatusRAT ਹਰ 8 ਘੰਟਿਆਂ ਵਿੱਚ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਵੀ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ ਅਤੇ, ਜੇਕਰ ਸਫਲ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਰਿਮੋਟ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਰਿਵਰਸ ਇੰਜਨੀਅਰਿੰਗ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਮਾਲਵੇਅਰ ਦੀਆਂ ਕਈ ਬਹੁਤ ਖਤਰਨਾਕ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ 'ਤੇ ਰਿਮੋਟ ਸ਼ੈੱਲਾਂ ਨੂੰ ਫੈਲਾਉਣਾ, C2 ਸਰਵਰ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਪੜ੍ਹਨਾ/ਮਿਟਾਉਣਾ / ਐਕਸਫਿਲਟਰ ਕਰਨਾ, C2 ਸਰਵਰ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ, C2 ਸਰਵਰ ਤੋਂ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਣਾ, TCP ਡਾਟਾ ਸੰਚਾਰਿਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਉਲੰਘਣ ਵਾਲੇ ਰਾਊਟਰਾਂ 'ਤੇ ਸਥਾਪਤ SOCKS v5 ਪ੍ਰੌਕਸੀਜ਼ ਦੁਆਰਾ ਸਥਾਨਾਂ ਨੂੰ ਅੱਗੇ ਭੇਜਣ ਲਈ ਸੈੱਟ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਹਮਲਾਵਰ ਅਜਿਹਾ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕਰਦੇ ਹਨ, ਤਾਂ ਉਹ ਧਮਕੀ ਨੂੰ ਆਪਣੇ ਆਪ ਨੂੰ ਖਤਮ ਕਰਨ ਦਾ ਨਿਰਦੇਸ਼ ਦੇ ਸਕਦੇ ਹਨ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰ ਸੰਕਰਮਿਤ ਰਾਊਟਰ ਰਾਹੀਂ ਹੋਰ ਉਲੰਘਣਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਤੋਂ ਡੇਟਾ ਨੂੰ ਮੂਵ ਕਰਨ ਲਈ SOCKS v5 ਪ੍ਰੌਕਸੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇਹ ਅਸਪਸ਼ਟ ਨੈੱਟਵਰਕ ਡੇਟਾ ਅਤੇ ਜਾਇਜ਼ ਕਾਰਵਾਈਆਂ ਦੀ ਨਕਲ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦਾ ਹੈ। ਸੰਗਠਨਾਂ ਨੂੰ ਇਸ ਖਤਰੇ ਤੋਂ ਸੁਚੇਤ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਅਜਿਹੇ ਹਮਲਿਆਂ ਤੋਂ ਆਪਣੇ ਨੈੱਟਵਰਕ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ।