裂孔鼠

網絡安全專家發現了一個以前未知的攻擊活動，涉及受感染的路由器。這場名為“Hiatus”的活動非常複雜，目標是企業級路由器。它部署了兩個受損的二進製文件，包括一個名為“HiatusRAT”的遠程訪問木馬 (RAT) 和一個可以在目標設備上執行數據包捕獲的 tcpdump 變體。有關威脅活動和涉及的惡意軟件的詳細信息已在安全研究人員的報告中發布

一旦目標系統被感染，HiatusRAT 允許威脅參與者與設備進行遠程交互。它使用非常不尋常的預建功能將受感染的機器轉換為威脅參與者的隱蔽代理。數據包捕獲二進製文件允許威脅行為者監控與電子郵件和文件傳輸通信相關的端口上的路由器流量，從而有效地使他們能夠竊取機密信息。

攻擊者以報廢的商業路由器為目標

名為 Hiatus 的活動針對在 i386 架構上運行的報廢 DrayTek Vigor 型號 2960 和 3900。然而，信息安全研究人員也觀察到了同樣針對 MIPS、i386 和基於 ARM 的架構的預構建二進製文件。這些路由器通常由中型企業使用，可以支持數百名遠程員工的 VPN 連接。

懷疑該活動背後的威脅行為者會感染感興趣的目標以收集數據，同時也瞄準機會建立秘密代理網絡。該活動由三個主要部分組成：一個在開發後部署的 bash 腳本、兩個由 bash 腳本檢索的可執行文件 - HiatusRAT 和一個啟用數據包捕獲的 tcpdump 變體。

經過分析，我們發現 HiatusRAT 有兩個主要目的。首先，它允許攻擊者與受影響的設備進行遠程交互，使他們能夠下載文件或運行任意命令。其次，它可以作為路由器上的 SOCKS5 代理設備。這可能用於促進通過路由器代理命令和控制（C2，C＆C）流量，以便從其他地方的其他代理中混淆它。

在 HiatusRAT 中發現的威脅能力

攻擊從部署 bash 腳本開始，該腳本下載並執行 RAT 惡意軟件，使其能夠從受感染的路由器收集系統、網絡、文件系統和進程數據。

HiatusRAT 還每 8 小時與命令和控制服務器建立通信，如果成功，攻擊者將獲得遠程訪問權限以監督受感染的設備。逆向工程分析揭示了惡意軟件的幾個極其危險的特徵，包括在受感染的設備上生成遠程 shell、讀取/刪除/洩露文件到 C2 服務器、從 C2 服務器獲取和執行文件、從 C2 服務器執行腳本、傳輸 TCP 數據通過在被破壞的路由器上設置的 SOCKS v5 代理設置轉發位置。如果攻擊者決定這樣做，他們可以指示威脅自行終止。

此外，攻擊者使用 SOCKS v5 代理通過受感染的路由器從其他被破壞的設備移動數據。這有助於掩蓋網絡數據並模仿合法行為。組織應該意識到這種威脅，並採取措施保護其網絡免受此類攻擊。