HiatusRAT celuje w oprogramowanie routera
Badacze z Lumen Black Lotus Labs odkryli nową kampanię złośliwego oprogramowania, którą nazwali „Przerwa”. Ta kampania jest skierowana do routerów klasy biznesowej, głównie modeli DrayTek Vigor 2960 i 3900, które mogą obsługiwać połączenia VPN dla pracowników zdalnych i są idealne dla średnich firm. Po zainfekowaniu złośliwe oprogramowanie wdraża dwa złośliwe pliki binarne - trojana zdalnego dostępu (RAT) znanego jako HiatusRAT.
HiatusRAT umożliwia atakującym zdalną interakcję z zainfekowanym systemem i przekształcenie go w tajne proxy. Plik binarny skoncentrowany na przechwytywaniu pakietów umożliwia aktorowi monitorowanie ruchu routera na portach związanych z komunikacją e-mail i przesyłaniem plików. Aktorzy stojący za tą kampanią atakowali przede wszystkim wycofane z eksploatacji routery z architekturą i386, ale odkryto również gotowe pliki binarne atakujące MIPS, i386 i chipy oparte na architekturze ARM.
Firma Lumen Black Lotus Labs® zidentyfikowała co najmniej 100 zainfekowanych ofiar, głównie w Europie i Ameryce Łacińskiej, korzystając z zastrzeżonej telemetrii z globalnej sieci szkieletowej IP firmy Lumen. Najnowsza wersja szkodliwego oprogramowania stała się aktywna w połowie 2022 roku. Podejrzewa się, że celem kampanii jest gromadzenie danych i tworzenie tajnej sieci proxy.
Kampania Hiatus składa się z trzech komponentów: skryptu bash, HiatusRAT oraz wariantu tcpdump, który umożliwia przechwytywanie pakietów. HiatusRAT służy dwóm celom - zdalnej interakcji z zainfekowanym urządzeniem oraz działaniu jako urządzenie proxy SOCKS5 na routerze. Umożliwia to aktorowi pośredniczenie w ruchu C&C przez router w celu zaciemnienia poleceń i kontroli z dodatkowego agenta w innym miejscu.
Co to jest trojan zdalnego dostępu?
Trojan zdalnego dostępu (RAT) to rodzaj złośliwego oprogramowania, które zapewnia nieautoryzowany dostęp do komputera lub sieci ofiary. RAT są zwykle rozpowszechniane za pośrednictwem e-maili phishingowych, taktyk socjotechnicznych lub exploitów oprogramowania. Po zainstalowaniu atakujący uzyskuje zdalną kontrolę nad zaatakowanym urządzeniem i może wykonywać różne działania, takie jak kradzież poufnych danych, modyfikowanie plików lub instalowanie dodatkowego złośliwego oprogramowania. RAT mogą być również wykorzystywane do szpiegowania działań ofiary, rejestrowania naciśnięć klawiszy, robienia zrzutów ekranu oraz włączania kamery i mikrofonu ofiary. RAT są uważane za poważne zagrożenie dla prywatności i bezpieczeństwa, a użytkownicy powinni podjąć kroki, aby zapobiec ich instalacji, takie jak aktualizowanie oprogramowania antywirusowego i unikanie podejrzanych załączników do wiadomości e-mail lub pobierania.