HiatusRAT

Strokovnjaki za kibernetsko varnost so odkrili doslej neznano napadalno kampanjo, ki vključuje ogrožene usmerjevalnike. Kampanja, znana kot "Hiatus", je kompleksna in cilja na usmerjevalnike poslovnega razreda. Razmesti dve ogroženi dvojiški datoteki, vključno s trojancem za oddaljeni dostop (RAT), imenovanim 'HiatusRAT', in različico tcpdump, ki lahko izvede zajem paketov na ciljni napravi. Podrobnosti o grozeči kampanji in vpleteni zlonamerni programski opremi so bile objavljene v poročilu varnostnega raziskovalca

Ko so ciljni sistemi okuženi, HiatusRAT akterju grožnje omogoči interakcijo z napravami na daljavo. Uporablja vnaprej pripravljeno funkcionalnost, ki je zelo nenavadna za pretvorbo ogroženih strojev v prikriti proxy za akterja grožnje. Binarna datoteka za zajem paketov omogoča akterjem groženj, da spremljajo promet usmerjevalnika na vratih, povezanih z e-pošto in komunikacijo za prenos datotek, kar jim dejansko daje možnost kraje zaupnih informacij.

Napadalci ciljajo na odslužene poslovne usmerjevalnike

Kampanja, znana kot Hiatus, je namenjena modeloma DrayTek Vigor 2960 in 3900 ob koncu življenjske dobe, ki delujeta na arhitekturi i386. Vendar pa so raziskovalci infosec opazili tudi vnaprej zgrajene binarne datoteke, ki ciljajo tudi na arhitekture, ki temeljijo na MIPS, i386 in ARM. Te usmerjevalnike običajno uporabljajo srednje velika podjetja in lahko podpirajo povezave VPN za stotine oddaljenih delavcev.

Obstaja sum, da akterji groženj, ki stojijo za kampanjo, okužijo interesne tarče za zbiranje podatkov, hkrati pa ciljajo na priložnosti za vzpostavitev prikritega posredniškega omrežja. Kampanjo sestavljajo tri glavne komponente: skript bash, nameščen po izkoriščanju, dve izvršljivi datoteki, ki ju pridobi skript bash - HiatusRAT in različica tcpdump, ki omogoča zajemanje paketov.

Po analizi je bilo ugotovljeno, da HiatusRAT služi dvema primarnima namenoma. Prvič, igralcu omogoča oddaljeno interakcijo s prizadeto napravo, kar mu omogoča prenos datotek ali izvajanje poljubnih ukazov. Drugič, lahko deluje kot proxy naprava SOCKS5 na usmerjevalniku. To se verjetno uporablja za olajšanje posredniškega prometa ukaz-in-nadzor (C2, C&C) prek usmerjevalnika, da bi ga zakrili pred dodatnim agentom drugje.

Nevarne zmožnosti, ki jih najdemo v HiatusRAT

Napad se začne z uvedbo skripta bash, ki prenese in izvede zlonamerno programsko opremo RAT, kar ji omogoči zbiranje sistema, omrežja, datotečnega sistema in obdelavo podatkov iz ogroženega usmerjevalnika.

HiatusRAT tudi vzpostavi komunikacijo s strežnikom Command-and-Control vsakih 8 ur in, če je uspešen, omogoči napadalcem oddaljeni dostop za nadzor okužene naprave. Analiza povratnega inženiringa je razkrila več izredno nevarnih lastnosti zlonamerne programske opreme, vključno z ustvarjanjem oddaljenih lupin na okuženih napravah, branjem/brisanjem/eksfiltracijo datotek na strežnik C2, pridobivanjem in izvajanjem datotek s strežnika C2, izvajanjem skriptov s strežnika C2, prenosom podatkov TCP nastavi na posredovanje lokacij prek proxyjev SOCKS v5, nastavljenih na poškodovanih usmerjevalnikih. Če se napadalci za to odločijo, lahko grožnji ukažejo, naj se sama uniči.

Poleg tega napadalci uporabljajo posrednike SOCKS v5 za premikanje podatkov iz drugih vdretih naprav prek okuženega usmerjevalnika. To pomaga prikrivati omrežne podatke in posnemati zakonita dejanja. Organizacije bi se morale zavedati te grožnje in sprejeti ukrepe za zaščito svojih omrežij pred takšnimi napadi.