HiatusRAT

Odborníci na kybernetickú bezpečnosť objavili predtým neznámu útočnú kampaň, ktorá zahŕňa napadnuté smerovače. Kampaň známa ako „Hiatus“ je komplexná a zameriava sa na smerovače podnikovej triedy. Nasadzuje dva kompromitované binárne súbory vrátane trójskeho koňa so vzdialeným prístupom (RAT) s názvom „HiatusRAT“ a variantu tcpdump, ktorý dokáže zachytiť pakety na cieľovom zariadení. Podrobnosti o hrozivej kampani a príslušnom malvéri boli zverejnené v správe od bezpečnostného výskumníka

Keď sú cielené systémy infikované, HiatusRAT umožňuje aktérovi hrozby vzdialenú interakciu so zariadeniami. Používa predpripravenú funkčnosť, ktorá je veľmi nezvyčajná na konverziu napadnutých počítačov na skrytý proxy pre aktéra hrozby. Binárny program na zachytávanie paketov umožňuje aktérom hrozby monitorovať prevádzku smerovača na portoch spojených s e-mailovou komunikáciou a prenosom súborov, čím im efektívne dáva možnosť ukradnúť dôverné informácie.

Útočníci sa zameriavajú na obchodné smerovače na konci životnosti

Kampaň známa ako Hiatus sa zameriava na modely DrayTek Vigor 2960 a 3900 na konci životnosti, ktoré fungujú na architektúre i386. Výskumníci spoločnosti Infosec však tiež pozorovali vopred zostavené binárne súbory, ktoré sa zameriavajú aj na architektúry založené na MIPS, i386 a ARM. Tieto smerovače zvyčajne používajú stredne veľké podniky a môžu podporovať pripojenia VPN pre stovky vzdialených pracovníkov.

Existuje podozrenie, že aktéri hrozieb stojaci za kampaňou infikujú ciele záujmu, aby zbierali údaje, pričom sa zameriavajú aj na príležitosti na vytvorenie skrytej siete proxy. Kampaň pozostáva z troch hlavných komponentov: bash skript nasadený po exploatácii, dva spustiteľné súbory získané bash skriptom - HiatusRAT a variant tcpdump, ktorý umožňuje zachytávanie paketov.

Po analýze sa zistilo, že HiatusRAT slúži na dva primárne účely. Po prvé, umožňuje hercovi na diaľku komunikovať s postihnutým zariadením, čo mu umožňuje sťahovať súbory alebo spúšťať ľubovoľné príkazy. Po druhé, môže fungovať ako proxy zariadenie SOCKS5 na smerovači. Pravdepodobne sa to používa na uľahčenie prenosu príkazov a riadenia (C2, C&C) prostredníctvom smerovača, aby sa to zakrylo pred ďalším agentom inde.

Hrozivé schopnosti nájdené v HiatusRAT

Útok začína nasadením bash skriptu, ktorý stiahne a spustí malvér RAT, čo mu umožní zhromaždiť systém, sieť, súborový systém a spracovať údaje z napadnutého smerovača.

HiatusRAT tiež nadväzuje komunikáciu so serverom Command-and-Control každých 8 hodín a v prípade úspechu poskytuje útočníkom vzdialený prístup, aby mohli dohliadať na infikované zariadenie. Analýza spätného inžinierstva odhalila niekoľko mimoriadne nebezpečných vlastností malvéru, vrátane spúšťania vzdialených shellov na infikovaných zariadeniach, čítania/mazania/exfiltrácie súborov na server C2, načítavania a spúšťania súborov zo servera C2, spúšťania skriptov zo servera C2, prenosu údajov TCP. nastaví na miesta preposielania cez proxy servery SOCKS v5 nastavené na narušených smerovačoch. Ak sa tak útočníci rozhodnú, môžu dať hrozbe pokyn, aby sa sama ukončila.

Okrem toho útočníci používajú proxy servery SOCKS v5 na presun údajov z iných napadnutých zariadení cez infikovaný smerovač. To pomáha zakryť sieťové údaje a napodobňovať legitímne akcie. Organizácie by si mali byť vedomí tejto hrozby a prijať opatrenia na zabezpečenie svojich sietí proti takýmto útokom.