HiatusRAT

Эксперты по кибербезопасности обнаружили ранее неизвестную атаку, в которой участвовали скомпрометированные маршрутизаторы. Кампания, известная как «Hiatus», сложна и нацелена на маршрутизаторы бизнес-класса. Он развертывает два скомпрометированных двоичных файла, в том числе троян удаленного доступа (RAT) под названием «HiatusRAT» и вариант tcpdump, который может выполнять захват пакетов на целевом устройстве. Подробности об угрожающей кампании и задействованном вредоносном ПО были опубликованы в отчете исследователя безопасности.

После заражения целевых систем HiatusRAT позволяет злоумышленнику удаленно взаимодействовать с устройствами. Он использует готовые функции, которые весьма необычны для преобразования скомпрометированных машин в скрытый прокси-сервер для злоумышленника. Двоичный файл захвата пакетов позволяет злоумышленникам отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов, что дает им возможность украсть конфиденциальную информацию.

Злоумышленники нацелены на вышедшие из эксплуатации бизнес-маршрутизаторы

Кампания, известная как Hiatus, нацелена на вышедшие из эксплуатации модели DrayTek Vigor 2960 и 3900, которые работают на архитектуре i386. Однако исследователи информационной безопасности также наблюдали готовые двоичные файлы, которые также предназначены для архитектур MIPS, i386 и ARM. Эти маршрутизаторы обычно используются предприятиями среднего размера и могут поддерживать VPN-подключения для сотен удаленных сотрудников.

Подозревается, что субъекты угрозы, стоящие за кампанией, заражают интересующие их цели для сбора данных, а также используют возможности для создания скрытой прокси-сети. Кампания состоит из трех основных компонентов: bash-скрипт, развернутый после эксплуатации, два исполняемых файла, извлеченных bash-скриптом — HiatusRAT, и вариант tcpdump, позволяющий перехватывать пакеты.

После анализа было обнаружено, что HiatusRAT служит двум основным целям. Во-первых, он позволяет злоумышленнику удаленно взаимодействовать с зараженным устройством, позволяя ему загружать файлы или выполнять произвольные команды. Во-вторых, он может работать как прокси-устройство SOCKS5 на роутере. Это, вероятно, используется для облегчения проксирования трафика Command-and-Control (C2, C&C) через маршрутизатор, чтобы скрыть его от дополнительного агента в другом месте.

Угрожающие возможности HiatusRAT

Атака начинается с развертывания bash-скрипта, который загружает и запускает вредоносное ПО RAT, позволяя ему собирать информацию о системе, сети, файловой системе и обрабатывать данные со скомпрометированного маршрутизатора.

HiatusRAT также устанавливает связь с сервером Command-and-Control каждые 8 часов и в случае успеха предоставляет злоумышленникам удаленный доступ для наблюдения за зараженным устройством. Обратный инженерный анализ выявил несколько чрезвычайно опасных функций вредоносного ПО, в том числе создание удаленных оболочек на зараженных устройствах, чтение/удаление/эксфильтрацию файлов на сервер C2, получение и выполнение файлов с сервера C2, выполнение скриптов с сервера C2, передачу данных TCP. устанавливает места пересылки через прокси-серверы SOCKS v5, настроенные на взломанных маршрутизаторах. Если злоумышленники решат это сделать, они могут дать указание угрозе самоликвидироваться.

Кроме того, злоумышленники используют прокси-серверы SOCKS v5 для передачи данных с других взломанных устройств через зараженный маршрутизатор. Это помогает скрыть сетевые данные и имитировать законные действия. Организации должны знать об этой угрозе и принимать меры для защиты своих сетей от таких атак.