HiatusRAT

Experții în securitate cibernetică au descoperit o campanie de atac necunoscută anterior care implică routere compromise. Campania, cunoscută sub numele de „Hiatus”, este complexă și vizează routerele de calitate business. Acesta implementează două fișiere binare compromise, inclusiv un troian de acces la distanță (RAT) numit „HiatusRAT” și o variantă a tcpdump care poate efectua captura de pachete pe dispozitivul țintă. Detalii despre campania de amenințare și malware-ul implicat au fost publicate într-un raport al unui cercetător de securitate

Odată ce sistemele vizate sunt infectate, HiatusRAT permite actorului amenințării să interacționeze de la distanță cu dispozitivele. Utilizează o funcționalitate predefinită care este foarte neobișnuită pentru a converti mașinile compromise într-un proxy ascuns pentru actorul amenințării. Binarul de captare a pachetelor permite actorilor amenințărilor să monitorizeze traficul ruterului pe porturile asociate cu comunicațiile de e-mail și transfer de fișiere, oferindu-le efectiv capacitatea de a fura informații confidențiale.

Atacatorii vizează routere de afaceri scoase din uz

Campania cunoscută sub numele de Hiatus vizează modelele DrayTek Vigor 2960 și 3900 aflate la sfârșitul vieții, care funcționează pe o arhitectură i386. Cu toate acestea, cercetătorii infosec au observat, de asemenea, binare prefabricate care vizează și arhitecturile bazate pe MIPS, i386 și ARM. Aceste routere sunt utilizate de obicei de întreprinderile mijlocii și pot suporta conexiuni VPN pentru sute de lucrători la distanță.

Se suspectează că actorii amenințărilor din spatele campaniei infectează ținte de interes pentru a colecta date, în același timp țintind oportunități de a stabili o rețea proxy ascunsă. Campania constă din trei componente principale: un script bash implementat post-exploatare, două executabile preluate de scriptul bash - HiatusRAT și o variantă de tcpdump care permite capturarea pachetelor.

În urma analizei, s-a constatat că HiatusRAT servește două scopuri principale. În primul rând, permite actorului să interacționeze de la distanță cu dispozitivul afectat, permițându-i să descarce fișiere sau să execute comenzi arbitrare. În al doilea rând, poate funcționa ca dispozitiv proxy SOCKS5 pe router. Acest lucru este probabil folosit pentru a facilita transmiterea traficului de comandă și control (C2, C&C) prin router pentru a-l înfunda de la un agent suplimentar din altă parte.

Capabilitățile amenințătoare găsite în HiatusRAT

Atacul începe cu implementarea unui script bash care descarcă și execută malware-ul RAT, permițându-i să colecteze sistemul, rețeaua, sistemul de fișiere și să proceseze date de la routerul compromis.

HiatusRAT stabilește, de asemenea, comunicarea cu un server Command-and-Control la fiecare 8 ore și, dacă reușește, oferă atacatorilor acces de la distanță pentru a supraveghea dispozitivul infectat. Analiza de inginerie inversă a relevat câteva caracteristici extrem de periculoase ale malware-ului, inclusiv generarea de shell-uri la distanță pe dispozitivele infectate, citirea/ștergerea/exfiltrarea fișierelor pe serverul C2, preluarea și executarea fișierelor de pe serverul C2, executarea scripturilor de pe serverul C2, transmiterea datelor TCP setează să redirecționeze locații prin proxy-urile SOCKS v5 configurate pe routerele încălcate. Dacă atacatorii decid să facă acest lucru, ei pot instrui amenințarea să înceteze.

În plus, atacatorii folosesc proxy SOCKS v5 pentru a muta datele de pe alte dispozitive încălcate prin routerul infectat. Acest lucru ajută la ascunderea datelor din rețea și la imitarea acțiunilor legitime. Organizațiile ar trebui să fie conștiente de această amenințare și să ia măsuri pentru a-și securiza rețelele împotriva unor astfel de atacuri.