విరామం RAT
సైబర్ సెక్యూరిటీ నిపుణులు రాజీపడిన రూటర్లను కలిగి ఉన్న గతంలో తెలియని దాడి ప్రచారాన్ని కనుగొన్నారు. 'హైటస్' అని పిలువబడే ప్రచారం సంక్లిష్టమైనది మరియు వ్యాపార-స్థాయి రూటర్లను లక్ష్యంగా చేసుకుంటుంది. ఇది 'HiatusRAT' అని పిలువబడే రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) మరియు లక్ష్య పరికరంలో ప్యాకెట్ క్యాప్చర్ని నిర్వహించగల tcpdump యొక్క వేరియంట్తో సహా రెండు రాజీపడిన బైనరీలను అమలు చేస్తుంది. బెదిరింపు ప్రచారం మరియు ప్రమేయం ఉన్న మాల్వేర్ గురించిన వివరాలు భద్రతా పరిశోధకుడి నివేదికలో విడుదల చేయబడ్డాయి
లక్షిత సిస్టమ్లు సోకిన తర్వాత, పరికరాలతో రిమోట్గా పరస్పర చర్య చేయడానికి HiatusRAT ముప్పు నటులను అనుమతిస్తుంది. ఇది రాజీపడిన మెషీన్లను ముప్పు నటుడి కోసం రహస్య ప్రాక్సీగా మార్చడానికి అత్యంత అసాధారణమైన ప్రీబిల్ట్ కార్యాచరణను ఉపయోగిస్తుంది. ప్యాకెట్-క్యాప్చర్ బైనరీ ఇమెయిల్ మరియు ఫైల్-ట్రాన్స్ఫర్ కమ్యూనికేషన్లతో అనుబంధించబడిన పోర్ట్లలో రూటర్ ట్రాఫిక్ను పర్యవేక్షించడానికి ముప్పు నటులను అనుమతిస్తుంది, వారికి రహస్య సమాచారాన్ని దొంగిలించే సామర్థ్యాన్ని సమర్థవంతంగా అందిస్తుంది.
ఎటాకర్స్ టార్గెట్ ఎండ్ ఆఫ్ లైఫ్ బిజినెస్ రూటర్స్
Hiatus అని పిలవబడే ప్రచారం, జీవితాంతం DrayTek Vigor మోడల్స్ 2960 మరియు 3900ని లక్ష్యంగా చేసుకుంది, ఇవి i386 ఆర్కిటెక్చర్పై పనిచేస్తాయి. అయినప్పటికీ, ఇన్ఫోసెక్ పరిశోధకులు MIPS, i386 మరియు ARM-ఆధారిత నిర్మాణాలను కూడా లక్ష్యంగా చేసుకున్న ప్రీబిల్ట్ బైనరీలను కూడా గమనించారు. ఈ రూటర్లు సాధారణంగా మధ్య తరహా వ్యాపారాలచే ఉపయోగించబడతాయి మరియు వందలాది మంది రిమోట్ కార్మికుల కోసం VPN కనెక్షన్లకు మద్దతు ఇవ్వగలవు.
ఒక రహస్య ప్రాక్సీ నెట్వర్క్ను స్థాపించే అవకాశాలను లక్ష్యంగా చేసుకుంటూ, ప్రచారం వెనుక ఉన్న బెదిరింపు నటులు డేటాను సేకరించడానికి ఆసక్తి ఉన్న లక్ష్యాలను సోకినట్లు అనుమానిస్తున్నారు. ప్రచారం మూడు ప్రధాన భాగాలను కలిగి ఉంటుంది: ఒక బాష్ స్క్రిప్ట్ పోస్ట్-ఎక్స్ప్లోయిటేషన్, రెండు ఎక్జిక్యూటబుల్స్ బాష్ స్క్రిప్ట్ ద్వారా తిరిగి పొందబడ్డాయి - HiatusRAT మరియు ప్యాకెట్ క్యాప్చర్ను ఎనేబుల్ చేసే tcpdump యొక్క వేరియంట్.
విశ్లేషణ తర్వాత, HiatusRAT రెండు ప్రాథమిక ప్రయోజనాలకు ఉపయోగపడుతుందని కనుగొనబడింది. ముందుగా, ఇది నటుడిని ప్రభావిత పరికరంతో రిమోట్గా ఇంటరాక్ట్ చేయడానికి అనుమతిస్తుంది, ఫైల్లను డౌన్లోడ్ చేయడానికి లేదా ఏకపక్ష ఆదేశాలను అమలు చేయడానికి వీలు కల్పిస్తుంది. రెండవది, ఇది రూటర్లో SOCKS5 ప్రాక్సీ పరికరంగా పని చేస్తుంది. కమాండ్-అండ్-కంట్రోల్ (C2, C&C) ట్రాఫిక్ను వేరే చోట అదనపు ఏజెంట్ నుండి అస్పష్టం చేయడానికి రూటర్ ద్వారా ప్రాక్సీ చేయడానికి ఇది ఉపయోగించబడుతుంది.
HiatusRATలో కనుగొనబడిన బెదిరింపు సామర్థ్యాలు
RAT మాల్వేర్ను డౌన్లోడ్ చేసి, అమలు చేసే బాష్ స్క్రిప్ట్ని అమలు చేయడంతో దాడి ప్రారంభమవుతుంది, ఇది సిస్టమ్, నెట్వర్క్, ఫైల్ సిస్టమ్ను సేకరించడానికి మరియు రాజీపడిన రూటర్ నుండి డేటాను ప్రాసెస్ చేయడానికి అనుమతిస్తుంది.
HiatusRAT ప్రతి 8 గంటలకు కమాండ్-అండ్-కంట్రోల్ సర్వర్తో కమ్యూనికేషన్ను కూడా ఏర్పాటు చేస్తుంది మరియు విజయవంతమైతే, సోకిన పరికరాన్ని పర్యవేక్షించడానికి దాడి చేసేవారికి రిమోట్ యాక్సెస్ ఇస్తుంది. రివర్స్ ఇంజనీరింగ్ విశ్లేషణ మాల్వేర్ యొక్క అనేక అత్యంత ప్రమాదకరమైన లక్షణాలను వెల్లడించింది, వీటిలో సోకిన పరికరాల్లో రిమోట్ షెల్లను పుట్టించడం, C2 సర్వర్కి ఫైల్లను చదవడం/తొలగించడం/వెళ్లిపోవడం, C2 సర్వర్ నుండి ఫైల్లను పొందడం మరియు అమలు చేయడం, C2 సర్వర్ నుండి స్క్రిప్ట్లను అమలు చేయడం, TCP డేటాను ప్రసారం చేయడం వంటివి ఉన్నాయి. ఉల్లంఘించిన రూటర్లలో సెటప్ చేయబడిన SOCKS v5 ప్రాక్సీల ద్వారా స్థానాలను ఫార్వార్డ్ చేయడానికి సెట్ చేస్తుంది. దాడి చేసేవారు అలా చేయాలని నిర్ణయించుకుంటే, వారు తమను తాము ముగించుకోవాలని ముప్పును సూచించవచ్చు.
అదనంగా, దాడి చేసేవారు సోకిన రూటర్ ద్వారా ఇతర ఉల్లంఘించిన పరికరాల నుండి డేటాను తరలించడానికి SOCKS v5 ప్రాక్సీలను ఉపయోగిస్తారు. ఇది నెట్వర్క్ డేటాను అస్పష్టం చేయడంలో మరియు చట్టబద్ధమైన చర్యలను అనుకరించడంలో సహాయపడుతుంది. సంస్థలు ఈ ముప్పు గురించి తెలుసుకోవాలి మరియు అటువంటి దాడుల నుండి తమ నెట్వర్క్లను సురక్షితంగా ఉంచడానికి చర్యలు తీసుకోవాలి.