Перерва RAT

Фахівці з кібербезпеки виявили раніше невідому кампанію атаки, яка включає скомпрометовані маршрутизатори. Кампанія, відома як «Hiatus», є складною та націлена на маршрутизатори бізнес-класу. Він розгортає два скомпрометовані двійкові файли, включаючи троян віддаленого доступу (RAT) під назвою «HiatusRAT» і варіант tcpdump, який може виконувати захоплення пакетів на цільовому пристрої. Подробиці про загрозливу кампанію та залучене шкідливе програмне забезпечення були оприлюднені у звіті дослідника безпеки

Після зараження цільових систем HiatusRAT дозволяє зловмиснику віддалено взаємодіяти з пристроями. Він використовує попередньо створені функції, які є дуже незвичайними для перетворення скомпрометованих машин на прихований проксі-сервер для загрози. Двійковий файл для захоплення пакетів дозволяє суб’єктам загроз відстежувати трафік маршрутизатора через порти, пов’язані з електронною поштою та передаванням файлів, фактично надаючи їм можливість викрасти конфіденційну інформацію.

Ціллю зловмисників є вичерпані бізнес-маршрутизатори

Кампанія, відома як Hiatus, націлена на моделі DrayTek Vigor 2960 і 3900, які працюють на архітектурі i386. Однак дослідники Infosec також спостерігали попередньо зібрані двійкові файли, які також націлені на архітектури на основі MIPS, i386 і ARM. Ці маршрутизатори зазвичай використовуються середнім бізнесом і можуть підтримувати з’єднання VPN для сотень віддалених працівників.

Є підозри, що зловмисники, які стоять за цією кампанією, заражають цікаві цілі для збору даних, а також націлюються на можливості створення прихованої проксі-мережі. Кампанія складається з трьох основних компонентів: сценарію bash, який розгортається після експлуатації, двох виконуваних файлів, отриманих скриптом bash – HiatusRAT і варіанту tcpdump, який дозволяє перехоплювати пакети.

Після аналізу було виявлено, що HiatusRAT служить двом основним цілям. По-перше, це дозволяє актору віддалено взаємодіяти з ураженим пристроєм, дозволяючи йому завантажувати файли або виконувати довільні команди. По-друге, він може працювати як проксі-пристрій SOCKS5 на маршрутизаторі. Ймовірно, це використовується для полегшення проксі-сервера трафіку командування та керування (C2, C&C) через маршрутизатор, щоб приховати його від додаткового агента в іншому місці.

Загрозливі можливості, виявлені в HiatusRAT

Атака починається з розгортання сценарію bash, який завантажує та виконує зловмисне програмне забезпечення RAT, дозволяючи йому збирати систему, мережу, файлову систему та обробляти дані зі зламаного маршрутизатора.

HiatusRAT також встановлює зв’язок із сервером Command-and-Control кожні 8 годин і в разі успіху надає зловмисникам віддалений доступ для контролю за зараженим пристроєм. Аналіз зворотного проектування виявив кілька надзвичайно небезпечних функцій шкідливого програмного забезпечення, зокрема створення віддалених оболонок на заражених пристроях, читання/видалення/пересилання файлів на сервер C2, отримання та виконання файлів із сервера C2, виконання сценаріїв із сервера C2, передачу даних TCP. встановлює пересилання місцезнаходження через проксі-сервери SOCKS v5, налаштовані на зламаних маршрутизаторах. Якщо зловмисники вирішать це зробити, вони можуть наказати загрозі припинити сама себе.

Крім того, зловмисники використовують проксі SOCKS v5 для переміщення даних з інших зламаних пристроїв через заражений маршрутизатор. Це допомагає приховувати мережеві дані та імітувати законні дії. Організації повинні знати про цю загрозу та вживати заходів для захисту своїх мереж від таких атак.