„HiatusRAT Targets“ maršrutizatoriaus programinė įranga

„Lumen Black Lotus Labs“ mokslininkai atrado naują kenkėjiškų programų kampaniją, kurią pavadino „Hiatus“. Ši kampanija skirta verslo klasės maršrutizatoriams, daugiausia DrayTek Vigor 2960 ir 3900 modeliams, kurie gali palaikyti VPN ryšius nuotoliniams darbuotojams ir idealiai tinka vidutinio dydžio įmonėms. Užsikrėtusi kenkėjiška programa diegia du kenksmingus dvejetainius failus – nuotolinės prieigos Trojos arklys (RAT), žinomą kaip HiatusRAT.

„HiatusRAT“ leidžia užpuolikams nuotoliniu būdu bendrauti su užkrėsta sistema ir konvertuoti ją į slaptą tarpinį serverį. Dvejetainis, orientuotas į paketų fiksavimą, leidžia aktoriui stebėti maršrutizatoriaus srautą prievaduose, susietuose su el. pašto ir failų perdavimo ryšiais. Kampanijos grėsmės veikėjai visų pirma taikėsi į nebenaudojamus maršrutizatorius, kuriuose veikia i386 architektūra, tačiau taip pat buvo atskleisti iš anksto sukurti dvejetainiai failai, skirti MIPS, i386 ir ARM lustams.

Lumen Black Lotus Labs® nustatė mažiausiai 100 užkrėstų aukų, daugiausia Europoje ir Lotynų Amerikoje, naudodamos patentuotą telemetriją iš Lumen pasaulinio IP magistralės. Naujausia kenkėjiškos programos versija suaktyvėjo 2022 m. viduryje. Įtariama, kad kampanija skirta duomenų rinkimui ir slapto tarpinio serverio tinklo kūrimui.

„Hiatus“ kampaniją sudaro trys komponentai: bash scenarijus, HiatusRAT ir tcpdump variantas, įgalinantis paketų fiksavimą. „HiatusRAT“ turi du tikslus – nuotoliniu būdu sąveikauti su užkrėstu įrenginiu ir maršrutizatoriuje veikti kaip SOCKS5 tarpinis serveris. Tai leidžia aktoriui perduoti C&C srautą per maršruto parinktuvą, kad būtų užgožtos papildomo agento komandos ir valdymas kitur.

Kas yra nuotolinės prieigos Trojos arklys?

Nuotolinės prieigos Trojos arklys (RAT) yra kenkėjiškos programinės įrangos tipas, suteikiantis neteisėtą prieigą prie aukos kompiuterio ar tinklo. RAT dažniausiai plinta per sukčiavimo el. laiškus, socialinės inžinerijos taktiką arba programinės įrangos išnaudojimus. Įdiegęs užpuolikas įgyja nuotolinį pažeisto įrenginio valdymą ir gali atlikti įvairius veiksmus, pvz., pavogti neskelbtinus duomenis, keisti failus ar įdiegti papildomą kenkėjišką programą. RAT taip pat gali būti naudojami aukos veiklai šnipinėti, įrašyti klavišų paspaudimus, daryti ekrano kopijas, įjungti aukos kamerą ir mikrofoną. RAT laikomi rimta grėsme privatumui ir saugumui, todėl vartotojai turėtų imtis veiksmų, kad užkirstų kelią jų diegimui, pvz., nuolat atnaujinti antivirusinę programinę įrangą ir vengti įtartinų el. laiškų priedų ar atsisiuntimų.