HiatusRAT

Ekspertët e sigurisë kibernetike kanë zbuluar një fushatë sulmi të panjohur më parë që përfshin ruterë të komprometuar. Fushata, e njohur si 'Hiatus', është komplekse dhe synon ruterat e nivelit të biznesit. Ai vendos dy binare të komprometuar, duke përfshirë një Trojan të Qasjes në Remote (RAT) të quajtur 'HiatusRAT' dhe një variant të tcpdump që mund të kryejë kapjen e paketave në pajisjen e synuar. Detajet rreth fushatës kërcënuese dhe malware-it të përfshirë u publikuan në një raport nga një studiues i sigurisë

Pasi sistemet e synuara të infektohen, HiatusRAT lejon që aktori i kërcënimit të ndërveprojë nga distanca me pajisjet. Ai përdor funksionalitet të para-ndërtuar që është shumë i pazakontë për të kthyer makinat e komprometuara në një përfaqësues të fshehtë për aktorin e kërcënimit. Binar i kapjes së paketave i lejon aktorët e kërcënimit të monitorojnë trafikun e ruterit në portet e lidhura me komunikimet e postës elektronike dhe transferimit të skedarëve, duke u dhënë atyre në mënyrë efektive mundësinë për të vjedhur informacione konfidenciale.

Sulmuesit synojnë ruterat e biznesit në fund të jetës

Fushata e njohur si Hiatus synon modelet e fundit të jetës DrayTek Vigor 2960 dhe 3900, të cilat funksionojnë në një arkitekturë i386. Sidoqoftë, studiuesit e infosec kanë vëzhguar gjithashtu binare të para-ndërtuara që synojnë gjithashtu arkitekturat MIPS, i386 dhe ARM. Këta ruterë zakonisht përdoren nga bizneset e mesme dhe mund të mbështesin lidhjet VPN për qindra punëtorë në distancë.

Dyshohet se aktorët e kërcënimit që qëndrojnë pas fushatës infektojnë objektiva me interes për të mbledhur të dhëna, duke synuar gjithashtu mundësitë për të krijuar një rrjet të fshehtë përfaqësuesish. Fushata përbëhet nga tre komponentë kryesorë: një skrip bash i vendosur pas shfrytëzimit, dy ekzekutues të marrë nga skripti bash - HiatusRAT dhe një variant i tcpdump që mundëson kapjen e paketave.

Pas analizave, u zbulua se HiatusRAT shërben për dy qëllime kryesore. Së pari, ai i lejon aktorit të ndërveprojë nga distanca me pajisjen e prekur, duke i mundësuar atij të shkarkojë skedarë ose të ekzekutojë komanda arbitrare. Së dyti, mund të funksionojë si një pajisje proxy SOCKS5 në ruter. Kjo ka të ngjarë të përdoret për të lehtësuar përcjelljen e trafikut të komandës dhe kontrollit (C2, C&C) përmes ruterit, në mënyrë që ta errësojë atë nga një agjent shtesë diku tjetër.

Aftësitë kërcënuese të gjetura në HiatusRAT

Sulmi fillon me vendosjen e një skripti bash që shkarkon dhe ekzekuton malware RAT, duke e lejuar atë të mbledhë sistemin, rrjetin, sistemin e skedarëve dhe të përpunojë të dhëna nga ruteri i komprometuar.

HiatusRAT gjithashtu vendos komunikim me një server Command-and-Control çdo 8 orë dhe, nëse është i suksesshëm, u jep sulmuesve akses në distancë për të mbikëqyrur pajisjen e infektuar. Analiza e inxhinierisë së kundërt zbuloi disa veçori jashtëzakonisht të rrezikshme të malware, duke përfshirë pjelljen e predhave në distancë në pajisjet e infektuara, leximin/fshirjen/eksfiltimin e skedarëve në serverin C2, marrjen dhe ekzekutimin e skedarëve nga serveri C2, ekzekutimin e skripteve nga serveri C2, transmetimin e të dhënave TCP vendos në vendndodhjet e përcjelljes përmes përfaqësuesve SOCKS v5 të vendosura në ruterat e shkelur. Nëse sulmuesit vendosin ta bëjnë këtë, ata mund të udhëzojnë kërcënimin të përfundojë vetë.

Për më tepër, sulmuesit përdorin proxies SOCKS v5 për të lëvizur të dhënat nga pajisjet e tjera të shkelura përmes ruterit të infektuar. Kjo ndihmon në fshehjen e të dhënave të rrjetit dhe imitimin e veprimeve të ligjshme. Organizatat duhet të jenë të vetëdijshme për këtë kërcënim dhe të marrin masa për të siguruar rrjetet e tyre kundër sulmeve të tilla.