HiatuRAT はルーターのファームウェアを標的にする

Lumen Black Lotus Labs の研究者は、「Hiatus」と名付けた新しいマルウェア キャンペーンを発見しました。このキャンペーンは、主に DrayTek Vigor モデル 2960 および 3900 であるビジネス グレードのルーターを対象としています。これらのルーターは、リモート ワーカー向けの VPN 接続をサポートでき、中規模のビジネスに最適です。感染すると、このマルウェアは 2 つの悪意のあるバイナリ (HiatusRAT として知られるリモート アクセス トロイの木馬 (RAT)) を展開します。

HiatusRAT を使用すると、攻撃者は感染したシステムとリモートで対話し、それを秘密のプロキシに変換できます。パケット キャプチャに重点を置いたバイナリにより、攻撃者は電子メールやファイル転送通信に関連するポートでルーター トラフィックを監視できます。キャンペーンの背後にいる脅威アクターは、主に i386 アーキテクチャを実行する生産終了したルーターを標的にしていますが、MIPS、i386、および ARM ベースのチップを標的とするビルド済みのバイナリも明らかになりました。

Lumen Black Lotus Labs® は、Lumen グローバル IP バックボーンからの独自のテレメトリを使用して、主にヨーロッパとラテンアメリカで少なくとも 100 人の感染した被害者を特定しました。マルウェアの最新バージョンは、2022 年半ばに活動を開始しました。このキャンペーンは、データ収集を目的としており、秘密のプロキシ ネットワークを確立している疑いがあります。

Hiatus キャンペーンは、bash スクリプト、HiatusRAT、およびパケット キャプチャを可能にする tcpdump の亜種の 3 つのコンポーネントで構成されています。 HiatusRAT は、感染したデバイスとリモートでやり取りすることと、ルーター上で SOCKS5 プロキシ デバイスとして機能することの 2 つの目的を果たします。これにより、攻撃者はルーターを介して C&C トラフィックをプロキシし、別の場所にある別のエージェントからのコマンドと制御を難読化できます。

リモートアクセス型トロイの木馬とは?

リモート アクセス トロイの木馬 (RAT) は、被害者のコンピュータまたはネットワークへの不正アクセスを提供する悪意のあるソフトウェアの一種です。 RAT は通常、フィッシング メール、ソーシャル エンジニアリング手法、またはソフトウェア エクスプロイトを介して拡散されます。インストールされると、攻撃者は侵害されたデバイスをリモートで制御できるようになり、機密データの盗難、ファイルの変更、追加のマルウェアのインストールなどのさまざまなアクションを実行できます。 RAT は、被害者の活動をスパイしたり、キーストロークを記録したり、スクリーンショットを撮ったり、被害者のカメラとマイクをオンにしたりするためにも使用できます。 RAT はプライバシーとセキュリティに対する深刻な脅威と見なされており、ユーザーはウイルス対策ソフトウェアを最新の状態に保ち、疑わしい電子メールの添付ファイルやダウンロードを回避するなど、RAT のインストールを防止するための措置を講じる必要があります。