หายไปRAT

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญการโจมตีที่ไม่รู้จักมาก่อนซึ่งเกี่ยวข้องกับเราเตอร์ที่ถูกบุกรุก แคมเปญที่เรียกว่า 'Hiatus' มีความซับซ้อนและกำหนดเป้าหมายเราเตอร์ระดับธุรกิจ มันปรับใช้ไบนารีสองตัวที่ถูกบุกรุก รวมถึงโทรจันการเข้าถึงระยะไกล (RAT) ที่เรียกว่า 'HiatusRAT' และตัวแปรของ tcpdump ที่สามารถดำเนินการดักจับแพ็กเก็ตบนอุปกรณ์เป้าหมาย รายละเอียดเกี่ยวกับแคมเปญคุกคามและมัลแวร์ที่เกี่ยวข้องได้รับการเปิดเผยในรายงานจากนักวิจัยด้านความปลอดภัย

เมื่อระบบเป้าหมายติดไวรัส HiatusRAT จะช่วยให้ผู้คุกคามสามารถโต้ตอบกับอุปกรณ์จากระยะไกลได้ ใช้ฟังก์ชันการทำงานที่สร้างไว้ล่วงหน้าซึ่งผิดปกติอย่างมากในการแปลงเครื่องที่ถูกบุกรุกเป็นพร็อกซีแอบแฝงสำหรับตัวแสดงภัยคุกคาม ไบนารีการดักจับแพ็กเก็ตช่วยให้ผู้คุกคามสามารถตรวจสอบทราฟฟิกเราเตอร์บนพอร์ตที่เกี่ยวข้องกับการสื่อสารทางอีเมลและการถ่ายโอนไฟล์ ทำให้พวกเขาสามารถขโมยข้อมูลที่เป็นความลับได้อย่างมีประสิทธิภาพ

ผู้โจมตีกำหนดเป้าหมายเราเตอร์ธุรกิจที่หมดอายุการใช้งาน

แคมเปญที่เรียกว่า Hiatus กำหนดเป้าหมายไปที่ DrayTek Vigor รุ่น 2960 และ 3900 ซึ่งทำงานบนสถาปัตยกรรม i386 อย่างไรก็ตาม นักวิจัยของอินโฟเซกยังได้สังเกตไบนารีที่สร้างไว้ล่วงหน้าซึ่งกำหนดเป้าหมายสถาปัตยกรรมที่ใช้ MIPS, i386 และ ARM ด้วย โดยปกติแล้วเราเตอร์เหล่านี้จะใช้โดยธุรกิจขนาดกลางและสามารถรองรับการเชื่อมต่อ VPN สำหรับผู้ปฏิบัติงานทางไกลหลายร้อยคน

เป็นที่สงสัยว่าผู้คุกคามที่อยู่เบื้องหลังแคมเปญได้แพร่เชื้อไปยังเป้าหมายที่สนใจเพื่อรวบรวมข้อมูลในขณะเดียวกันก็กำหนดเป้าหมายโอกาสในการสร้างเครือข่ายพร็อกซีแอบแฝง แคมเปญประกอบด้วยองค์ประกอบหลัก 3 ส่วน: สคริปต์ทุบตีที่ใช้หลังการเอารัดเอาเปรียบ สองไฟล์ปฏิบัติการที่เรียกใช้โดยสคริปต์ทุบตี - HiatusRAT และตัวแปรของ tcpdump ที่เปิดใช้งานการดักจับแพ็กเก็ต

จากการวิเคราะห์พบว่า HiatusRAT มีจุดประสงค์หลักสองประการ ประการแรก อนุญาตให้นักแสดงโต้ตอบระยะไกลกับอุปกรณ์ที่ได้รับผลกระทบ ทำให้สามารถดาวน์โหลดไฟล์หรือเรียกใช้คำสั่งโดยอำเภอใจ ประการที่สอง สามารถทำงานเป็นอุปกรณ์พร็อกซี SOCKS5 บนเราเตอร์ มีแนวโน้มที่จะใช้เพื่ออำนวยความสะดวกในการรับส่งข้อมูล Command-and-Control (C2, C&C) พร็อกซีผ่านเราเตอร์เพื่อทำให้สับสนจากตัวแทนเพิ่มเติมที่อื่น

ความสามารถที่เป็นอันตรายที่พบใน HiatusRAT

การโจมตีเริ่มต้นด้วยการติดตั้งสคริปต์ทุบตีที่ดาวน์โหลดและรันมัลแวร์ RAT ทำให้สามารถรวบรวมระบบ เครือข่าย ระบบไฟล์ และประมวลผลข้อมูลจากเราเตอร์ที่ถูกบุกรุก

HiatusRAT ยังสร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control ทุกๆ 8 ชั่วโมง และหากสำเร็จ จะช่วยให้ผู้โจมตีสามารถเข้าถึงระยะไกลเพื่อควบคุมอุปกรณ์ที่ติดไวรัสได้ การวิเคราะห์ทางวิศวกรรมย้อนกลับเผยให้เห็นคุณลักษณะที่เป็นอันตรายอย่างยิ่งหลายอย่างของมัลแวร์ รวมถึงการวางไข่จากระยะไกลบนอุปกรณ์ที่ติดไวรัส การอ่าน/ลบ/การกรองไฟล์ไปยังเซิร์ฟเวอร์ C2 การดึงข้อมูลและการดำเนินการไฟล์จากเซิร์ฟเวอร์ C2 การดำเนินการสคริปต์จากเซิร์ฟเวอร์ C2 การส่งข้อมูล TCP กำหนดให้ส่งต่อตำแหน่งผ่านพร็อกซี SOCKS v5 ที่ตั้งค่าบนเราเตอร์ที่ถูกละเมิด หากผู้โจมตีตัดสินใจทำเช่นนั้น พวกเขาสามารถสั่งให้ภัยคุกคามยุติตัวเองได้

นอกจากนี้ ผู้โจมตียังใช้พร็อกซี SOCKS v5 เพื่อย้ายข้อมูลจากอุปกรณ์อื่นที่ถูกละเมิดผ่านเราเตอร์ที่ติดไวรัส สิ่งนี้ช่วยปิดบังข้อมูลเครือข่ายและเลียนแบบการกระทำที่ถูกต้องตามกฎหมาย องค์กรควรตระหนักถึงภัยคุกคามนี้และใช้มาตรการรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีดังกล่าว