ХиатусРАТ

Стручњаци за сајбер безбедност открили су раније непознату кампању напада која укључује компромитоване рутере. Кампања, позната као 'Хиатус', је сложена и циља на рутере пословног нивоа. Он примењује две компромитоване бинарне датотеке, укључујући тројанца за даљински приступ (РАТ) под називом 'ХиатусРАТ' и варијанту тцпдумп која може да изврши хватање пакета на циљном уређају. Детаљи о претећој кампањи и укљученом малверу објављени су у извештају истраживача безбедности

Једном када су циљани системи заражени, ХиатусРАТ дозвољава претњи да комуницира са уређајима на даљину. Користи унапред изграђену функционалност која је веома неуобичајена за претварање компромитованих машина у прикривени проки за актера претње. Бинарно снимање пакета омогућава актерима претњи да надгледају саобраћај рутера на портовима повезаним са комуникацијом е-поште и преноса датотека, што им ефективно даје могућност да краду поверљиве информације.

Нападачи циљају пословне рутере на крају животног века

Кампања позната као Хиатус циља на ДраиТек Вигор моделе 2960 и 3900, који раде на и386 архитектури, на крају свог животног века. Међутим, истраживачи инфосец-а су такође приметили унапред изграђене бинарне датотеке које такође циљају на МИПС, и386 и АРМ засноване архитектуре. Ове рутере обично користе средња предузећа и могу да подрже ВПН везе за стотине удаљених радника.

Сумња се да актери претњи који стоје иза кампање инфицирају мете од интереса за прикупљање података, истовремено циљајући могућности за успостављање прикривене прокси мреже. Кампања се састоји од три главне компоненте: басх скрипте која се примењује након експлоатације, две извршне датотеке које преузима басх скрипта - ХиатусРАТ и варијанте тцпдумп која омогућава хватање пакета.

Након анализе, установљено је да ХиатусРАТ служи двема примарним сврхама. Прво, омогућава глумцу да даљински комуницира са погођеним уређајем, омогућавајући им да преузимају датотеке или покрећу произвољне команде. Друго, може да ради као СОЦКС5 проки уређај на рутеру. Ово се вероватно користи за олакшавање проксија команде и контроле (Ц2, Ц&Ц) саобраћаја кроз рутер како би се сакрио од додатног агента на другом месту.

Претеће могућности пронађене у ХиатусРАТ-у

Напад почиње применом басх скрипте која преузима и извршава РАТ малвер, омогућавајући му да прикупи систем, мрежу, систем датотека и обради податке са компромитованог рутера.

ХиатусРАТ такође успоставља комуникацију са сервером за команду и контролу сваких 8 сати и, ако успе, даје нападачима даљински приступ да надгледају заражени уређај. Анализа обрнутог инжењеринга открила је неколико изузетно опасних карактеристика малвера, укључујући стварање удаљених шкољки на зараженим уређајима, читање/брисање/ексфилтрирање датотека на Ц2 сервер, преузимање и извршавање датотека са Ц2 сервера, извршавање скрипти са Ц2 сервера, пренос ТЦП података подешава локације за прослеђивање преко СОЦКС в5 проксија постављених на пробијеним рутерима. Ако нападачи одлуче да то учине, могу да наложе претњу да се сама укине.

Поред тога, нападачи користе СОЦКС в5 проксије за премештање података са других оштећених уређаја кроз заражени рутер. Ово помаже прикривању мрежних података и опонашању легитимних радњи. Организације треба да буду свесне ове претње и да предузму мере да обезбеде своје мреже од таквих напада.