Υλικολογισμικό δρομολογητή HiatusRAT Targets

Ερευνητές της Lumen Black Lotus Labs ανακάλυψαν μια νέα καμπάνια κακόβουλου λογισμικού που ονόμασαν "Hiatus". Αυτή η καμπάνια στοχεύει δρομολογητές επαγγελματικής ποιότητας, κυρίως τα μοντέλα DrayTek Vigor 2960 και 3900, τα οποία μπορούν να υποστηρίξουν συνδέσεις VPN για απομακρυσμένους εργαζόμενους και είναι ιδανικά για μεσαίου μεγέθους επιχειρήσεις. Μόλις μολυνθεί, το κακόβουλο λογισμικό αναπτύσσει δύο κακόβουλα δυαδικά αρχεία - έναν Trojan Remote Access (RAT) γνωστό ως HiatusRAT.

Το HiatusRAT επιτρέπει στους εισβολείς να αλληλεπιδρούν εξ αποστάσεως με το μολυσμένο σύστημα και να το μετατρέπουν σε μυστικό διακομιστή μεσολάβησης. Το δυαδικό σύστημα που επικεντρώνεται στη λήψη πακέτων επιτρέπει στον ηθοποιό να παρακολουθεί την κίνηση του δρομολογητή στις θύρες που σχετίζονται με τις επικοινωνίες ηλεκτρονικού ταχυδρομείου και μεταφοράς αρχείων. Οι παράγοντες απειλής πίσω από την καμπάνια έχουν στοχεύσει κυρίως δρομολογητές στο τέλος του κύκλου ζωής τους με αρχιτεκτονική i386, αλλά αποκαλύφθηκαν επίσης προκατασκευασμένα δυαδικά αρχεία που στοχεύουν τσιπ που βασίζονται σε MIPS, i386 και ARM.

Το Lumen Black Lotus Labs® έχει εντοπίσει τουλάχιστον 100 μολυσμένα θύματα, κυρίως στην Ευρώπη και τη Λατινική Αμερική, χρησιμοποιώντας αποκλειστική τηλεμετρία από τον παγκόσμιο κορμό IP Lumen. Η τελευταία έκδοση του κακόβουλου λογισμικού έγινε ενεργή στα μέσα του 2022. Η καμπάνια υποπτεύεται ότι στοχεύει στη συλλογή δεδομένων και δημιουργεί ένα μυστικό δίκτυο μεσολάβησης.

Η καμπάνια Hiatus αποτελείται από τρία στοιχεία: ένα σενάριο bash, το HiatusRAT και μια παραλλαγή του tcpdump που επιτρέπει τη λήψη πακέτων. Το HiatusRAT εξυπηρετεί δύο σκοπούς - την απομακρυσμένη αλληλεπίδραση με τη μολυσμένη συσκευή και τη λειτουργία ως συσκευή διακομιστή μεσολάβησης SOCKS5 στο δρομολογητή. Αυτό επιτρέπει στον ηθοποιό να διαμεσολαβεί την κυκλοφορία C&C μέσω του δρομολογητή για να αποκρύψει την εντολή και τον έλεγχο από έναν πρόσθετο πράκτορα αλλού.

Τι είναι ένας Trojan απομακρυσμένης πρόσβασης;

Το Remote Access Trojan (RAT) είναι ένας τύπος κακόβουλου λογισμικού που παρέχει μη εξουσιοδοτημένη πρόσβαση στον υπολογιστή ή το δίκτυο του θύματος. Οι RAT συνήθως διαδίδονται μέσω email ηλεκτρονικού ψαρέματος, τακτικών κοινωνικής μηχανικής ή εκμεταλλεύσεων λογισμικού. Μόλις εγκατασταθεί, ο εισβολέας αποκτά απομακρυσμένο έλεγχο της παραβιασμένης συσκευής και μπορεί να εκτελέσει διάφορες ενέργειες, όπως κλοπή ευαίσθητων δεδομένων, τροποποίηση αρχείων ή εγκατάσταση πρόσθετου κακόβουλου λογισμικού. Οι RAT μπορούν επίσης να χρησιμοποιηθούν για να κατασκοπεύσουν τις δραστηριότητες του θύματος, να καταγράψουν πατήματα πλήκτρων, να τραβήξουν στιγμιότυπα οθόνης και να ενεργοποιήσουν την κάμερα και το μικρόφωνο του θύματος. Οι RAT θεωρούνται σοβαρή απειλή για το απόρρητο και την ασφάλεια και οι χρήστες θα πρέπει να λαμβάνουν μέτρα για να αποτρέψουν την εγκατάστασή τους, όπως να διατηρούν ενημερωμένο το λογισμικό προστασίας από ιούς και να αποφεύγουν ύποπτα συνημμένα email ή λήψεις.