A HiatusRAT a router firmware-jét célozza meg
A Lumen Black Lotus Labs kutatói egy új rosszindulatú kampányt fedeztek fel, amelyet "Hiatus"-nak neveztek el. Ez a kampány az üzleti szintű útválasztókat célozza meg, elsősorban a DrayTek Vigor 2960 és 3900 modelleket, amelyek támogatják a távoli dolgozók VPN-kapcsolatait, és ideálisak a közepes méretű vállalkozások számára. Amint megfertőződött, a kártevő két rosszindulatú bináris fájlt telepít – egy távelérési trójai (RAT) nevű HiatusRAT-t.
A HiatusRAT lehetővé teszi a támadók számára, hogy távolról kapcsolatba lépjenek a fertőzött rendszerrel, és titkos proxyvá alakítsák azt. A csomagrögzítésre összpontosító bináris lehetővé teszi a szereplő számára, hogy figyelemmel kísérje a router forgalmát az e-mail- és fájlátviteli kommunikációhoz kapcsolódó portokon. A kampány mögött meghúzódó fenyegetés szereplői elsősorban az i386 architektúrát futtató, élettartamuk végét megcélzó routereket célozták meg, de előkerültek a MIPS, i386 és ARM alapú chipeket célzó előre elkészített binárisok is.
A Lumen Black Lotus Labs® legalább 100 fertőzött áldozatot azonosított, főként Európában és Latin-Amerikában, a Lumen globális IP gerinchálózatának szabadalmaztatott telemetriájával. A kártevő legújabb verziója 2022 közepén vált aktívvá. A kampány a gyanú szerint adatgyűjtést és titkos proxyhálózat létrehozását célozza.
A Hiatus kampány három összetevőből áll: egy bash szkriptből, a HiatusRAT-ból és a tcpdump egy változatából, amely lehetővé teszi a csomagrögzítést. A HiatusRAT két célt szolgál: távolról kommunikál a fertőzött eszközzel, és SOCKS5 proxy eszközként működik az útválasztón. Ez lehetővé teszi a szereplő számára, hogy a C&C forgalmat proxyzza az útválasztón keresztül, hogy elhomályosítsa a parancsokat és vezérlést egy másik ügynöktől.
Mi az a távelérési trójai?
A Remote Access Trojan (RAT) egy olyan rosszindulatú szoftver, amely jogosulatlan hozzáférést biztosít az áldozat számítógépéhez vagy hálózatához. A RAT-ok általában adathalász e-mailek, közösségi manipulációs taktikák vagy szoftveres visszaélések útján terjednek. A telepítést követően a támadó távolról irányítja a feltört eszközt, és különféle műveleteket hajthat végre, például bizalmas adatok ellopását, fájlok módosítását vagy további rosszindulatú programok telepítését. A patkányok használhatók az áldozat tevékenységei utáni kémkedésre, billentyűleütések rögzítésére, képernyőképek készítésére, valamint az áldozat kamerájának és mikrofonjának bekapcsolására. A RAT-ok súlyos fenyegetést jelentenek a magánéletre és a biztonságra, és a felhasználóknak lépéseket kell tenniük a telepítésük megelőzése érdekében, például tartsák naprakészen a víruskereső szoftverüket, és kerüljék a gyanús e-mail-mellékleteket vagy letöltéseket.