HiatoRAT

Os especialistas em segurança cibernética descobriram uma campanha de ataque anteriormente desconhecida que envolve roteadores comprometidos. A campanha, conhecida como 'Hiatus', é complexa e visa roteadores de nível empresarial. Ele implanta dois binários comprometidos, incluindo um Trojan de acesso remoto (RAT) chamado 'HiatusRAT' e uma variante do tcpdump que pode realizar a captura de pacotes no dispositivo de destino. Detalhes sobre a campanha ameaçadora e o malware envolvido foram divulgados em um relatório de um pesquisador de segurança

Depois que os sistemas visados são infectados, o HiatusRAT permite que o agente da ameaça interaja remotamente com os dispositivos. Ele usa uma funcionalidade pré-criada que é altamente incomum para converter as máquinas comprometidas em um proxy secreto para o agente da ameaça. O binário de captura de pacotes permite que os agentes de ameaças monitorem o tráfego do roteador em portas associadas a comunicações de e-mail e transferência de arquivos, dando-lhes efetivamente a capacidade de roubar informações confidenciais.

Os Invasores Visam Roteadores Comerciais Fim de Vida Útil

A campanha conhecida como Hiatus tem como alvo os modelos 2960 e 3900 DrayTek Vigor em fim de vida, que operam em uma arquitetura i386. No entanto, os pesquisadores de infosec também observaram binários pré-construídos que também visam arquiteturas baseadas em MIPS, i386 e ARM. Esses roteadores são normalmente usados por empresas de médio porte e podem oferecer suporte a conexões VPN para centenas de funcionários remotos.

Suspeita-se que os agentes de ameaças por trás da campanha infectam alvos de interesse para coletar dados, ao mesmo tempo em que visam oportunidades para estabelecer uma rede proxy secreta. A campanha consiste em três componentes principais: um script bash implantado após a exploração, dois executáveis recuperados pelo script bash - HiatusRAT e uma variante do tcpdump que permite a captura de pacotes.

Após a análise, descobriu-se que o HiatusRAT atende a dois propósitos principais. Em primeiro lugar, permite que o ator interaja remotamente com o dispositivo afetado, permitindo que baixe arquivos ou execute comandos arbitrários. Em segundo lugar, ele pode operar como um dispositivo proxy SOCKS5 no roteador. Isso provavelmente é usado para facilitar o tráfego de comando e controle de proxy (C2, C&C) por meio do roteador, a fim de ocultá-lo de um agente adicional em outro lugar.

Os Recursos Ameaçadores Encontrados no HiatusRAT

O ataque começa com a implantação de um script bash que baixa e executa o malware RAT, permitindo que ele colete o sistema, a rede, o sistema de arquivos e processe dados do roteador comprometido.

O HiatusRAT também estabelece comunicação com um servidor de comando e controle a cada 8 horas e, se for bem-sucedido, dá aos atacantes acesso remoto para supervisionar o dispositivo infectado. A análise de engenharia reversa revelou vários recursos extremamente perigosos do malware, incluindo geração de shells remotos em dispositivos infectados, leitura/exclusão/exfiltração de arquivos para o servidor C2, busca e execução de arquivos do servidor C2, execução de scripts do servidor C2, transmissão de dados TCP define para encaminhar locais por meio de proxies SOCKS v5 configurados em roteadores violados. Se os invasores decidirem fazer isso, eles podem instruir a ameaça a se encerrar.

Além disso, os invasores usam proxies SOCKS v5 para mover dados de outros dispositivos violados por meio do roteador infectado. Isso ajuda a ocultar os dados da rede e a imitar ações legítimas. As organizações devem estar cientes dessa ameaça e tomar medidas para proteger suas redes contra esses ataques.