裂孔鼠

网络安全专家发现了一个以前未知的攻击活动，涉及受感染的路由器。这场名为“Hiatus”的活动非常复杂，目标是企业级路由器。它部署了两个受损的二进制文件，包括一个名为“HiatusRAT”的远程访问木马 (RAT) 和一个可以在目标设备上执行数据包捕获的 tcpdump 变体。有关威胁活动和涉及的恶意软件的详细信息已在安全研究人员的报告中发布

一旦目标系统被感染，HiatusRAT 允许威胁参与者与设备进行远程交互。它使用非常不寻常的预建功能将受感染的机器转换为威胁参与者的隐蔽代理。数据包捕获二进制文件允许威胁行为者监控与电子邮件和文件传输通信相关的端口上的路由器流量，从而有效地使他们能够窃取机密信息。

攻击者以报废的商业路由器为目标

名为 Hiatus 的活动针对在 i386 架构上运行的报废 DrayTek Vigor 型号 2960 和 3900。然而，信息安全研究人员也观察到了同样针对 MIPS、i386 和基于 ARM 的架构的预构建二进制文件。这些路由器通常由中型企业使用，可以支持数百名远程员工的 VPN 连接。

怀疑该活动背后的威胁行为者会感染感兴趣的目标以收集数据，同时也瞄准机会建立秘密代理网络。该活动由三个主要部分组成：一个在开发后部署的 bash 脚本、两个由 bash 脚本检索的可执行文件 - HiatusRAT 和一个启用数据包捕获的 tcpdump 变体。

经过分析，我们发现 HiatusRAT 有两个主要目的。首先，它允许攻击者与受影响的设备进行远程交互，使他们能够下载文件或运行任意命令。其次，它可以作为路由器上的 SOCKS5 代理设备。这可能用于促进通过路由器代理命令和控制（C2，C＆C）流量，以便从其他地方的其他代理中混淆它。

在 HiatusRAT 中发现的威胁能力

攻击从部署 bash 脚本开始，该脚本下载并执行 RAT 恶意软件，使其能够从受感染的路由器收集系统、网络、文件系统和进程数据。

HiatusRAT 还每 8 小时与命令和控制服务器建立通信，如果成功，攻击者将获得远程访问权限以监督受感染的设备。逆向工程分析揭示了恶意软件的几个极其危险的特征，包括在受感染的设备上生成远程 shell、读取/删除/泄露文件到 C2 服务器、从 C2 服务器获取和执行文件、从 C2 服务器执行脚本、传输 TCP 数据通过在被破坏的路由器上设置的 SOCKS v5 代理设置转发位置。如果攻击者决定这样做，他们可以指示威胁自行终止。

此外，攻击者使用 SOCKS v5 代理通过受感染的路由器从其他被破坏的设备移动数据。这有助于掩盖网络数据并模仿合法行为。组织应该意识到这种威胁，并采取措施保护其网络免受此类攻击。