HiatusRAT

Cybersäkerhetsexperter har upptäckt en tidigare okänd attackkampanj som involverar komprometterade routrar. Kampanjen, känd som "Hiatus", är komplex och riktar sig till routrar av företagsklass. Den distribuerar två komprometterade binärfiler, inklusive en Remote Access Trojan (RAT) som kallas 'HiatusRAT' och en variant av tcpdump som kan utföra paketfångning på målenheten. Detaljer om den hotfulla kampanjen och den inblandade skadliga programvaran släpptes i en rapport från en säkerhetsforskare

När väl de riktade systemen är infekterade tillåter HiatusRAT hotaktören att interagera på distans med enheterna. Den använder förbyggd funktionalitet som är mycket ovanlig för att konvertera de komprometterade maskinerna till en hemlig proxy för hotaktören. Den binära paketinsamlingen tillåter hotaktörerna att övervaka routertrafiken på portar som är associerade med e-post- och filöverföringskommunikation, vilket effektivt ger dem möjligheten att stjäla konfidentiell information.

Angriparna riktar sig mot affärsroutrar i slutet av livet

Kampanjen, känd som Hiatus, riktar sig till DrayTek Vigor-modellerna 2960 och 3900, som fungerar på en i386-arkitektur. Men infosec-forskare har också observerat förbyggda binärer som också är inriktade på MIPS, i386 och ARM-baserade arkitekturer. Dessa routrar används vanligtvis av medelstora företag och kan stödja VPN-anslutningar för hundratals fjärrarbetare.

Det misstänks att hotaktörerna bakom kampanjen infekterar mål av intresse för att samla in data samtidigt som de riktar in sig på möjligheter att etablera ett hemligt proxynätverk. Kampanjen består av tre huvudkomponenter: ett bash-skript utplacerat efter exploatering, två körbara filer hämtade av bash-skriptet - HiatusRAT och en variant av tcpdump som möjliggör paketfångning.

Vid analys visade det sig att HiatusRAT tjänar två primära syften. För det första tillåter det skådespelaren att interagera på distans med den berörda enheten, vilket gör det möjligt för dem att ladda ner filer eller köra godtyckliga kommandon. För det andra kan den fungera som en SOCKS5-proxyenhet på routern. Detta används sannolikt för att underlätta proxysändning av Command-and-Control (C2, C&C) trafik genom routern för att fördunkla den från en extra agent någon annanstans.

De hotfulla funktionerna som finns i HiatusRAT

Attacken börjar med utplaceringen av ett bash-skript som laddar ner och kör RAT-skadlig programvara, vilket gör att den kan samla in systemet, nätverket, filsystemet och bearbeta data från den komprometterade routern.

HiatusRAT upprättar också kommunikation med en Command-and-Control-server var 8:e timme och, om det lyckas, ger angriparna fjärråtkomst för att övervaka den infekterade enheten. Omvänd konstruktionsanalys avslöjade flera extremt farliga egenskaper hos skadlig programvara, inklusive att skapa fjärrskal på infekterade enheter, läsa/ta bort/exfiltrera filer till C2-servern, hämta och exekvera filer från C2-servern, exekvera skript från C2-servern, sända TCP-data ställer in för vidarebefordran av platser via SOCKS v5-proxyer som ställts in på routrar som har brutits. Om angriparna bestämmer sig för att göra det kan de instruera hotet att upphöra.

Dessutom använder angriparna SOCKS v5-proxies för att flytta data från andra intrångade enheter genom den infekterade routern. Detta hjälper till att dölja nätverksdata och imitera legitima handlingar. Organisationer bör vara medvetna om detta hot och vidta åtgärder för att säkra sina nätverk mot sådana attacker.