HiatusRAT

Siber güvenlik uzmanları, güvenliği ihlal edilmiş yönlendiricileri içeren, önceden bilinmeyen bir saldırı kampanyası keşfettiler. "Hiatus" olarak bilinen kampanya karmaşıktır ve işletme sınıfı yönlendiricileri hedefler. 'HiatusRAT' adlı bir Uzaktan Erişim Truva Atı (RAT) ve hedef cihazda paket yakalama gerçekleştirebilen bir tcpdump çeşidi dahil olmak üzere güvenliği ihlal edilmiş iki ikili dosyayı dağıtır. Tehdit kampanyası ve ilgili kötü amaçlı yazılımla ilgili ayrıntılar, bir güvenlik araştırmacısının raporunda yayınlandı

Hedeflenen sistemlere virüs bulaştığında HiatusRAT, tehdit aktörünün cihazlarla uzaktan etkileşim kurmasına izin verir. Güvenliği ihlal edilmiş makineleri tehdit aktörü için gizli bir proxy'ye dönüştürmek için oldukça sıra dışı olan önceden oluşturulmuş işlevsellik kullanır. Paket yakalama ikili programı, tehdit aktörlerinin e-posta ve dosya aktarım iletişimleriyle ilişkili bağlantı noktalarındaki yönlendirici trafiğini izlemelerine olanak tanıyarak, onlara etkili bir şekilde gizli bilgileri çalma yeteneği verir.

Saldırganlar, Ömrünü Tamamlamış İş Yönlendiricilerini Hedefliyor

Hiatus olarak bilinen kampanya, bir i386 mimarisi üzerinde çalışan, ömrünü tamamlamış DrayTek Vigor modelleri 2960 ve 3900'ü hedefliyor. Bununla birlikte, infosec araştırmacıları MIPS, i386 ve ARM tabanlı mimarileri de hedefleyen önceden oluşturulmuş ikili dosyaları da gözlemlediler. Bu yönlendiriciler genellikle orta ölçekli işletmeler tarafından kullanılır ve yüzlerce uzak çalışan için VPN bağlantılarını destekleyebilir.

Kampanyanın arkasındaki tehdit aktörlerinin veri toplamak için ilgili hedeflere bulaştığından ve aynı zamanda gizli bir proxy ağı kurmak için fırsatları hedef aldığından şüpheleniliyor. Kampanya üç ana bileşenden oluşur: istismar sonrası dağıtılan bir bash betiği, bash betiği tarafından alınan iki yürütülebilir dosya - HiatusRAT ve paket yakalamayı etkinleştiren bir tcpdump çeşidi.

Analiz sonucunda, HiatusRAT'ın iki ana amaca hizmet ettiği bulundu. İlk olarak, oyuncunun etkilenen cihazla uzaktan etkileşime girmesine izin vererek, dosyaları indirmelerine veya rastgele komutlar çalıştırmalarına olanak tanır. İkincisi, yönlendirici üzerinde bir SOCKS5 proxy cihazı olarak çalışabilir. Bu muhtemelen, başka bir yerdeki ek bir aracıdan gizlemek için yönlendirici aracılığıyla Komuta ve Kontrol (C2, C&C) trafiğini yönlendirmeyi kolaylaştırmak için kullanılır.

HiatusRAT'ta Bulunan Tehdit Edici Yetenekler

Saldırı, RAT kötü amaçlı yazılımını indiren ve yürüten, sistem, ağ, dosya sistemi ve ele geçirilen yönlendiriciden veri işlemesine izin veren bir bash betiğinin konuşlandırılmasıyla başlar.

HiatusRAT ayrıca her 8 saatte bir Komuta ve Kontrol sunucusuyla iletişim kurar ve başarılı olursa, saldırganlara virüslü cihazı denetlemeleri için uzaktan erişim sağlar. Tersine mühendislik analizi, kötü amaçlı yazılımın, virüs bulaşmış cihazlarda uzak kabuklar oluşturma, dosyaları C2 sunucusuna okuma/silme/sızma, C2 sunucusundan dosya alma ve yürütme, C2 sunucusundan komut dosyalarını yürütme, TCP verilerini iletme dahil olmak üzere son derece tehlikeli birkaç özelliğini ortaya çıkardı. ihlal edilen yönlendiricilerde kurulan SOCKS v5 proxy'leri aracılığıyla konumları yönlendirmeye ayarlar. Saldırganlar bunu yapmaya karar verirlerse tehdide kendisini sonlandırması talimatını verebilirler.

Ek olarak, saldırganlar, ihlal edilen diğer cihazlardan verileri virüslü yönlendirici aracılığıyla taşımak için SOCKS v5 proxy'lerini kullanır. Bu, ağ verilerinin gizlenmesine ve meşru eylemlerin taklit edilmesine yardımcı olur. Kuruluşlar bu tehdidin farkında olmalı ve ağlarını bu tür saldırılara karşı güvence altına almak için önlemler almalıdır.