HiatusRAT prende di mira il firmware del router

I ricercatori di Lumen Black Lotus Labs hanno scoperto una nuova campagna di malware che hanno chiamato "Hiatus". Questa campagna si rivolge ai router di livello aziendale, principalmente i modelli DrayTek Vigor 2960 e 3900, che possono supportare connessioni VPN per i lavoratori remoti e sono ideali per le aziende di medie dimensioni. Una volta infettato, il malware distribuisce due binari dannosi: un trojan di accesso remoto (RAT) noto come HiatusRAT.

HiatusRAT consente agli aggressori di interagire in remoto con il sistema infetto e convertirlo in un proxy nascosto. Il binario incentrato sull'acquisizione dei pacchetti consente all'attore di monitorare il traffico del router sulle porte associate alle comunicazioni di posta elettronica e di trasferimento file. Gli attori della minaccia dietro la campagna hanno preso di mira principalmente i router di fine vita che eseguono un'architettura i386, ma sono stati scoperti anche binari predefiniti che prendono di mira MIPS, i386 e chip basati su ARM.

Lumen Black Lotus Labs® ha identificato almeno 100 vittime infette, principalmente in Europa e America Latina, utilizzando la telemetria proprietaria dalla dorsale IP globale di Lumen. L'ultima versione del malware è diventata attiva a metà del 2022. Si sospetta che la campagna abbia come obiettivo la raccolta di dati e la creazione di una rete proxy nascosta.

La campagna Hiatus è composta da tre componenti: uno script bash, HiatusRAT e una variante di tcpdump che abilita la cattura dei pacchetti. HiatusRAT ha due scopi: interagire in remoto con il dispositivo infetto e agire come dispositivo proxy SOCKS5 sul router. Ciò consente all'attore di delegare il traffico C&C attraverso il router per offuscare il comando e il controllo da un altro agente altrove.

Che cos'è un trojan di accesso remoto?

Un trojan ad accesso remoto (RAT) è un tipo di software dannoso che fornisce accesso non autorizzato al computer o alla rete di una vittima. I RAT vengono generalmente diffusi tramite e-mail di phishing, tattiche di ingegneria sociale o exploit software. Una volta installato, l'aggressore ottiene il controllo remoto sul dispositivo compromesso e può eseguire varie azioni come il furto di dati sensibili, la modifica di file o l'installazione di malware aggiuntivo. I RAT possono anche essere utilizzati per spiare le attività della vittima, registrare sequenze di tasti, acquisire schermate e attivare la videocamera e il microfono della vittima. I RAT sono considerati una grave minaccia per la privacy e la sicurezza e gli utenti dovrebbero adottare misure per impedirne l'installazione, come mantenere aggiornato il software antivirus ed evitare allegati e-mail o download sospetti.