Gián đoạnRAT

Các chuyên gia an ninh mạng đã phát hiện ra một chiến dịch tấn công chưa biết trước đây có liên quan đến các bộ định tuyến bị xâm nhập. Chiến dịch, được gọi là 'Hiatus', rất phức tạp và nhắm mục tiêu đến các bộ định tuyến cấp doanh nghiệp. Nó triển khai hai tệp nhị phân bị xâm phạm, bao gồm một Trojan Truy cập Từ xa (RAT) có tên là 'HiatusRAT' và một biến thể của tcpdump có thể thực hiện bắt gói trên thiết bị đích. Chi tiết về chiến dịch đe dọa và phần mềm độc hại có liên quan đã được tiết lộ trong một báo cáo từ một nhà nghiên cứu bảo mật

Sau khi các hệ thống mục tiêu bị lây nhiễm, HiatusRAT cho phép tác nhân đe dọa tương tác từ xa với các thiết bị. Nó sử dụng chức năng dựng sẵn rất bất thường để chuyển đổi các máy bị xâm nhập thành một proxy bí mật cho tác nhân đe dọa. Hệ nhị phân bắt gói cho phép các tác nhân đe dọa giám sát lưu lượng bộ định tuyến trên các cổng được liên kết với email và liên lạc truyền tệp, giúp chúng có khả năng đánh cắp thông tin bí mật một cách hiệu quả.

Những kẻ tấn công nhắm mục tiêu các bộ định tuyến doanh nghiệp hết hạn sử dụng

Chiến dịch được gọi là Hiatus nhắm đến các mẫu DrayTek Vigor 2960 và 3900 đã hết tuổi thọ, hoạt động trên kiến trúc i386. Tuy nhiên, các nhà nghiên cứu của infosec cũng đã quan sát các tệp nhị phân dựng sẵn cũng nhắm mục tiêu các kiến trúc dựa trên MIPS, i386 và ARM. Các bộ định tuyến này thường được các doanh nghiệp cỡ trung bình sử dụng và có thể hỗ trợ kết nối VPN cho hàng trăm nhân viên làm việc từ xa.

Người ta nghi ngờ rằng các tác nhân đe dọa đằng sau chiến dịch đã lây nhiễm các mục tiêu quan tâm để thu thập dữ liệu đồng thời nhắm đến các cơ hội thiết lập mạng proxy bí mật. Chiến dịch bao gồm ba thành phần chính: tập lệnh bash được triển khai sau khi khai thác, hai tệp thực thi được truy xuất bởi tập lệnh bash - HiatusRAT và một biến thể của tcpdump cho phép chụp gói.

Sau khi phân tích, người ta thấy rằng HiatusRAT phục vụ hai mục đích chính. Thứ nhất, nó cho phép kẻ tấn công tương tác từ xa với thiết bị bị ảnh hưởng, cho phép họ tải xuống các tệp hoặc chạy các lệnh tùy ý. Thứ hai, nó có thể hoạt động như một thiết bị proxy SOCKS5 trên bộ định tuyến. Điều này có khả năng được sử dụng để tạo điều kiện thuận lợi cho việc ủy quyền lưu lượng Lệnh và Kiểm soát (C2, C&C) thông qua bộ định tuyến để làm xáo trộn nó khỏi một tác nhân bổ sung ở nơi khác.

Khả năng đe dọa được tìm thấy trong HiatusRAT

Cuộc tấn công bắt đầu bằng việc triển khai tập lệnh bash tải xuống và thực thi phần mềm độc hại RAT, cho phép nó thu thập hệ thống, mạng, hệ thống tệp và xử lý dữ liệu từ bộ định tuyến bị xâm nhập.

HiatusRAT cũng thiết lập liên lạc với máy chủ Command-and-Control cứ sau 8 giờ và nếu thành công, kẻ tấn công sẽ có quyền truy cập từ xa để giám sát thiết bị bị nhiễm. Phân tích kỹ thuật đảo ngược cho thấy một số tính năng cực kỳ nguy hiểm của phần mềm độc hại, bao gồm tạo shell từ xa trên thiết bị bị nhiễm, đọc/xóa/trích xuất tệp tới máy chủ C2, tìm nạp và thực thi tệp từ máy chủ C2, thực thi tập lệnh từ máy chủ C2, truyền dữ liệu TCP thiết lập để chuyển tiếp các vị trí thông qua proxy SOCKS v5 được thiết lập trên các bộ định tuyến bị vi phạm. Nếu những kẻ tấn công quyết định làm như vậy, chúng có thể ra lệnh cho mối đe dọa tự chấm dứt.

Ngoài ra, những kẻ tấn công sử dụng proxy SOCKS v5 để di chuyển dữ liệu từ các thiết bị bị vi phạm khác thông qua bộ định tuyến bị nhiễm. Điều này giúp che giấu dữ liệu mạng và bắt chước các hành động hợp pháp. Các tổ chức nên nhận thức được mối đe dọa này và thực hiện các biện pháp để bảo vệ mạng của họ trước các cuộc tấn công như vậy.