HiatusRAT

Natuklasan ng mga eksperto sa cybersecurity ang isang dating hindi kilalang attack campaign na kinasasangkutan ng mga nakompromisong router. Ang campaign, na kilala bilang 'Hiatus,' ay kumplikado at nagta-target ng mga business-grade router. Nag-deploy ito ng dalawang nakompromisong binary, kabilang ang isang Remote Access Trojan (RAT) na tinatawag na 'HiatusRAT' at isang variant ng tcpdump na maaaring magsagawa ng packet capture sa target na device. Ang mga detalye tungkol sa nagbabantang kampanya at ang sangkot na malware ay inilabas sa isang ulat mula sa isang security researcher

Kapag na-infect na ang mga target na system, pinapayagan ng HiatusRAT ang threat actor na makipag-ugnayan nang malayuan sa mga device. Gumagamit ito ng prebuilt functionality na lubhang hindi pangkaraniwan para i-convert ang mga nakompromisong machine sa isang tago na proxy para sa threat actor. Binibigyang-daan ng packet-capture binary ang mga threat actor na subaybayan ang trapiko ng router sa mga port na nauugnay sa email at mga komunikasyon sa paglilipat ng file, na epektibong nagbibigay sa kanila ng kakayahang magnakaw ng kumpidensyal na impormasyon.

Target ng Mga Attacker ang End-of-Life Business Router

Tina-target ng campaign na kilala bilang Hiatus ang end-of-life na DrayTek Vigor na mga modelong 2960 at 3900, na gumagana sa isang i386 architecture. Gayunpaman, naobserbahan din ng mga mananaliksik ng infosec ang mga prebuilt na binary na nagta-target din ng mga arkitektura na nakabatay sa MIPS, i386, at ARM. Ang mga router na ito ay karaniwang ginagamit ng mga medium-sized na negosyo at maaaring suportahan ang mga koneksyon sa VPN para sa daan-daang malayuang manggagawa.

Pinaghihinalaan na ang mga banta ng aktor sa likod ng kampanya ay nakakahawa sa mga target ng interes upang mangolekta ng data habang nagta-target din ng mga pagkakataon upang magtatag ng isang tago na proxy network. Binubuo ang campaign ng tatlong pangunahing bahagi: isang bash script na naka-deploy pagkatapos ng pagsasamantala, dalawang executable na nakuha ng bash script - HiatusRAT at isang variant ng tcpdump na nagbibigay-daan sa pagkuha ng packet.

Sa pagsusuri, nalaman na ang HiatusRAT ay nagsisilbi ng dalawang pangunahing layunin. Una, pinapayagan nito ang aktor na makipag-ugnayan nang malayuan sa apektadong device, na nagbibigay-daan sa kanila na mag-download ng mga file o magpatakbo ng mga arbitrary na utos. Pangalawa, maaari itong gumana bilang isang SOCKS5 proxy device sa router. Ito ay malamang na ginagamit upang mapadali ang pag-proxy ng Command-and-Control (C2, C&C) na trapiko sa pamamagitan ng router upang i-obfuscate ito mula sa isang karagdagang ahente sa ibang lugar.

Ang Mga Kakayahang Pagbabanta na Natagpuan sa HiatusRAT

Ang pag-atake ay nagsisimula sa pag-deploy ng isang bash script na nagda-download at nagpapatupad ng RAT malware, na nagbibigay-daan dito na kolektahin ang system, network, file system, at iproseso ang data mula sa nakompromisong router.

Ang HiatusRAT ay nagtatatag din ng komunikasyon sa isang Command-and-Control server tuwing 8 oras at, kung matagumpay, binibigyan ang mga umaatake ng malayuang pag-access upang pangasiwaan ang nahawaang device. Ang reverse engineering analysis ay nagsiwalat ng ilang lubhang mapanganib na feature ng malware, kabilang ang pag-spawning ng mga malalayong shell sa mga infected na device, pagbabasa/pagtanggal/pag-exfiltrate ng mga file sa C2 server, pagkuha at pag-execute ng mga file mula sa C2 server, pag-execute ng mga script mula sa C2 server, pagpapadala ng data ng TCP nagtatakda sa pagpapasa ng mga lokasyon sa pamamagitan ng SOCKS v5 na mga proxy na naka-set up sa mga nasira na router. Kung magpasya ang mga umaatake na gawin ito, maaari nilang turuan ang banta na wakasan ang sarili.

Bukod pa rito, ang mga umaatake ay gumagamit ng mga SOCKS v5 na proxies upang ilipat ang data mula sa iba pang mga nalabag na device sa pamamagitan ng nahawaang router. Nakakatulong ito na itago ang data ng network at gayahin ang mga lehitimong aksyon. Dapat malaman ng mga organisasyon ang banta na ito at gumawa ng mga hakbang upang ma-secure ang kanilang mga network laban sa mga naturang pag-atake.