HiatusRAT

Eksperci ds. cyberbezpieczeństwa wykryli nieznaną wcześniej kampanię ataków, która obejmuje zainfekowane routery. Kampania, znana jako „Przerwa”, jest złożona i skierowana jest do routerów klasy biznesowej. Wdraża dwa skompromitowane pliki binarne, w tym trojana zdalnego dostępu (RAT) o nazwie „HiatusRAT” oraz wariant tcpdump, który może przechwytywać pakiety na urządzeniu docelowym. Szczegóły dotyczące groźnej kampanii i związanego z nią złośliwego oprogramowania zostały ujawnione w raporcie badacza bezpieczeństwa

Po zainfekowaniu atakowanych systemów HiatusRAT umożliwia atakującemu zdalną interakcję z urządzeniami. Wykorzystuje wstępnie wbudowaną funkcjonalność, która jest bardzo nietypowa w celu przekształcenia zaatakowanych maszyn w tajne proxy dla atakującego. Plik binarny przechwytywania pakietów umożliwia cyberprzestępcom monitorowanie ruchu routera na portach związanych z komunikacją e-mail i przesyłaniem plików, skutecznie dając im możliwość kradzieży poufnych informacji.

Atakujący biorą na cel wyeksploatowane routery biznesowe

Kampania znana jako Hiatus dotyczy wycofanych z eksploatacji modeli DrayTek Vigor 2960 i 3900, które działają na architekturze i386. Jednak badacze z firmy Infosec zaobserwowali również gotowe pliki binarne, które również atakują architektury oparte na MIPS, i386 i ARM. Routery te są zwykle używane przez średnie firmy i mogą obsługiwać połączenia VPN dla setek pracowników zdalnych.

Podejrzewa się, że cyberprzestępcy stojący za kampanią infekują cele będące przedmiotem zainteresowania w celu zbierania danych, a także wykorzystują okazje do ustanowienia tajnej sieci proxy. Kampania składa się z trzech głównych komponentów: skryptu bash wdrażanego po wykorzystaniu, dwóch plików wykonywalnych pobieranych przez skrypt bash - HiatusRAT oraz wariantu tcpdump umożliwiającego przechwytywanie pakietów.

Po analizie stwierdzono, że HiatusRAT służy dwóm podstawowym celom. Po pierwsze, umożliwia aktorowi zdalną interakcję z urządzeniem, którego dotyczy problem, umożliwiając mu pobieranie plików lub uruchamianie dowolnych poleceń. Po drugie, może działać jako urządzenie proxy SOCKS5 na routerze. Jest to prawdopodobnie wykorzystywane do ułatwienia pośredniczenia ruchu Command-and-Control (C2, C&C) przez router w celu zaciemnienia go przed dodatkowym agentem w innym miejscu.

Groźne możliwości znalezione w HiatusRAT

Atak rozpoczyna się od wdrożenia skryptu bash, który pobiera i uruchamia złośliwe oprogramowanie RAT, umożliwiając mu zebranie systemu, sieci, systemu plików i danych procesowych z zaatakowanego routera.

HiatusRAT nawiązuje również komunikację z serwerem Command-and-Control co 8 godzin i, jeśli się powiedzie, zapewnia atakującym zdalny dostęp do nadzorowania zainfekowanego urządzenia. Analiza inżynierii wstecznej ujawniła kilka niezwykle niebezpiecznych cech szkodliwego oprogramowania, w tym tworzenie zdalnych powłok na zainfekowanych urządzeniach, odczytywanie/usuwanie/eksfiltrowanie plików na serwer C2, pobieranie i uruchamianie plików z serwera C2, wykonywanie skryptów z serwera C2, przesyłanie danych TCP ustawia na przekierowywanie lokalizacji za pośrednictwem serwerów proxy SOCKS v5 skonfigurowanych na naruszonych routerach. Jeśli atakujący zdecydują się to zrobić, mogą poinstruować zagrożenie, aby samo się zakończyło.

Ponadto osoby atakujące wykorzystują serwery proxy SOCKS v5 do przenoszenia danych z innych przejętych urządzeń przez zainfekowany router. Pomaga to ukryć dane sieciowe i imitować legalne działania. Organizacje powinny być świadome tego zagrożenia i podjąć działania w celu zabezpieczenia swoich sieci przed takimi atakami.