విరామం RAT

సైబర్‌ సెక్యూరిటీ నిపుణులు రాజీపడిన రూటర్‌లను కలిగి ఉన్న గతంలో తెలియని దాడి ప్రచారాన్ని కనుగొన్నారు. 'హైటస్' అని పిలువబడే ప్రచారం సంక్లిష్టమైనది మరియు వ్యాపార-స్థాయి రూటర్‌లను లక్ష్యంగా చేసుకుంటుంది. ఇది 'HiatusRAT' అని పిలువబడే రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) మరియు లక్ష్య పరికరంలో ప్యాకెట్ క్యాప్చర్‌ని నిర్వహించగల tcpdump యొక్క వేరియంట్‌తో సహా రెండు రాజీపడిన బైనరీలను అమలు చేస్తుంది. బెదిరింపు ప్రచారం మరియు ప్రమేయం ఉన్న మాల్వేర్ గురించిన వివరాలు భద్రతా పరిశోధకుడి నివేదికలో విడుదల చేయబడ్డాయి

లక్షిత సిస్టమ్‌లు సోకిన తర్వాత, పరికరాలతో రిమోట్‌గా పరస్పర చర్య చేయడానికి HiatusRAT ముప్పు నటులను అనుమతిస్తుంది. ఇది రాజీపడిన మెషీన్‌లను ముప్పు నటుడి కోసం రహస్య ప్రాక్సీగా మార్చడానికి అత్యంత అసాధారణమైన ప్రీబిల్ట్ కార్యాచరణను ఉపయోగిస్తుంది. ప్యాకెట్-క్యాప్చర్ బైనరీ ఇమెయిల్ మరియు ఫైల్-ట్రాన్స్‌ఫర్ కమ్యూనికేషన్‌లతో అనుబంధించబడిన పోర్ట్‌లలో రూటర్ ట్రాఫిక్‌ను పర్యవేక్షించడానికి ముప్పు నటులను అనుమతిస్తుంది, వారికి రహస్య సమాచారాన్ని దొంగిలించే సామర్థ్యాన్ని సమర్థవంతంగా అందిస్తుంది.

ఎటాకర్స్ టార్గెట్ ఎండ్ ఆఫ్ లైఫ్ బిజినెస్ రూటర్స్

Hiatus అని పిలవబడే ప్రచారం, జీవితాంతం DrayTek Vigor మోడల్స్ 2960 మరియు 3900ని లక్ష్యంగా చేసుకుంది, ఇవి i386 ఆర్కిటెక్చర్‌పై పనిచేస్తాయి. అయినప్పటికీ, ఇన్ఫోసెక్ పరిశోధకులు MIPS, i386 మరియు ARM-ఆధారిత నిర్మాణాలను కూడా లక్ష్యంగా చేసుకున్న ప్రీబిల్ట్ బైనరీలను కూడా గమనించారు. ఈ రూటర్‌లు సాధారణంగా మధ్య తరహా వ్యాపారాలచే ఉపయోగించబడతాయి మరియు వందలాది మంది రిమోట్ కార్మికుల కోసం VPN కనెక్షన్‌లకు మద్దతు ఇవ్వగలవు.

ఒక రహస్య ప్రాక్సీ నెట్‌వర్క్‌ను స్థాపించే అవకాశాలను లక్ష్యంగా చేసుకుంటూ, ప్రచారం వెనుక ఉన్న బెదిరింపు నటులు డేటాను సేకరించడానికి ఆసక్తి ఉన్న లక్ష్యాలను సోకినట్లు అనుమానిస్తున్నారు. ప్రచారం మూడు ప్రధాన భాగాలను కలిగి ఉంటుంది: ఒక బాష్ స్క్రిప్ట్ పోస్ట్-ఎక్స్‌ప్లోయిటేషన్, రెండు ఎక్జిక్యూటబుల్స్ బాష్ స్క్రిప్ట్ ద్వారా తిరిగి పొందబడ్డాయి - HiatusRAT మరియు ప్యాకెట్ క్యాప్చర్‌ను ఎనేబుల్ చేసే tcpdump యొక్క వేరియంట్.

విశ్లేషణ తర్వాత, HiatusRAT రెండు ప్రాథమిక ప్రయోజనాలకు ఉపయోగపడుతుందని కనుగొనబడింది. ముందుగా, ఇది నటుడిని ప్రభావిత పరికరంతో రిమోట్‌గా ఇంటరాక్ట్ చేయడానికి అనుమతిస్తుంది, ఫైల్‌లను డౌన్‌లోడ్ చేయడానికి లేదా ఏకపక్ష ఆదేశాలను అమలు చేయడానికి వీలు కల్పిస్తుంది. రెండవది, ఇది రూటర్‌లో SOCKS5 ప్రాక్సీ పరికరంగా పని చేస్తుంది. కమాండ్-అండ్-కంట్రోల్ (C2, C&C) ట్రాఫిక్‌ను వేరే చోట అదనపు ఏజెంట్ నుండి అస్పష్టం చేయడానికి రూటర్ ద్వారా ప్రాక్సీ చేయడానికి ఇది ఉపయోగించబడుతుంది.

HiatusRATలో కనుగొనబడిన బెదిరింపు సామర్థ్యాలు

RAT మాల్వేర్‌ను డౌన్‌లోడ్ చేసి, అమలు చేసే బాష్ స్క్రిప్ట్‌ని అమలు చేయడంతో దాడి ప్రారంభమవుతుంది, ఇది సిస్టమ్, నెట్‌వర్క్, ఫైల్ సిస్టమ్‌ను సేకరించడానికి మరియు రాజీపడిన రూటర్ నుండి డేటాను ప్రాసెస్ చేయడానికి అనుమతిస్తుంది.

HiatusRAT ప్రతి 8 గంటలకు కమాండ్-అండ్-కంట్రోల్ సర్వర్‌తో కమ్యూనికేషన్‌ను కూడా ఏర్పాటు చేస్తుంది మరియు విజయవంతమైతే, సోకిన పరికరాన్ని పర్యవేక్షించడానికి దాడి చేసేవారికి రిమోట్ యాక్సెస్ ఇస్తుంది. రివర్స్ ఇంజనీరింగ్ విశ్లేషణ మాల్వేర్ యొక్క అనేక అత్యంత ప్రమాదకరమైన లక్షణాలను వెల్లడించింది, వీటిలో సోకిన పరికరాల్లో రిమోట్ షెల్‌లను పుట్టించడం, C2 సర్వర్‌కి ఫైల్‌లను చదవడం/తొలగించడం/వెళ్లిపోవడం, C2 సర్వర్ నుండి ఫైల్‌లను పొందడం మరియు అమలు చేయడం, C2 సర్వర్ నుండి స్క్రిప్ట్‌లను అమలు చేయడం, TCP డేటాను ప్రసారం చేయడం వంటివి ఉన్నాయి. ఉల్లంఘించిన రూటర్‌లలో సెటప్ చేయబడిన SOCKS v5 ప్రాక్సీల ద్వారా స్థానాలను ఫార్వార్డ్ చేయడానికి సెట్ చేస్తుంది. దాడి చేసేవారు అలా చేయాలని నిర్ణయించుకుంటే, వారు తమను తాము ముగించుకోవాలని ముప్పును సూచించవచ్చు.

అదనంగా, దాడి చేసేవారు సోకిన రూటర్ ద్వారా ఇతర ఉల్లంఘించిన పరికరాల నుండి డేటాను తరలించడానికి SOCKS v5 ప్రాక్సీలను ఉపయోగిస్తారు. ఇది నెట్‌వర్క్ డేటాను అస్పష్టం చేయడంలో మరియు చట్టబద్ధమైన చర్యలను అనుకరించడంలో సహాయపడుతుంది. సంస్థలు ఈ ముప్పు గురించి తెలుసుకోవాలి మరియు అటువంటి దాడుల నుండి తమ నెట్‌వర్క్‌లను సురక్షితంగా ఉంచడానికి చర్యలు తీసుకోవాలి.