HiatusRAT celuje w oprogramowanie routera

Badacze z Lumen Black Lotus Labs odkryli nową kampanię złośliwego oprogramowania, którą nazwali „Przerwa”. Ta kampania jest skierowana do routerów klasy biznesowej, głównie modeli DrayTek Vigor 2960 i 3900, które mogą obsługiwać połączenia VPN dla pracowników zdalnych i są idealne dla średnich firm. Po zainfekowaniu złośliwe oprogramowanie wdraża dwa złośliwe pliki binarne - trojana zdalnego dostępu (RAT) znanego jako HiatusRAT.

HiatusRAT umożliwia atakującym zdalną interakcję z zainfekowanym systemem i przekształcenie go w tajne proxy. Plik binarny skoncentrowany na przechwytywaniu pakietów umożliwia aktorowi monitorowanie ruchu routera na portach związanych z komunikacją e-mail i przesyłaniem plików. Aktorzy stojący za tą kampanią atakowali przede wszystkim wycofane z eksploatacji routery z architekturą i386, ale odkryto również gotowe pliki binarne atakujące MIPS, i386 i chipy oparte na architekturze ARM.

Firma Lumen Black Lotus Labs® zidentyfikowała co najmniej 100 zainfekowanych ofiar, głównie w Europie i Ameryce Łacińskiej, korzystając z zastrzeżonej telemetrii z globalnej sieci szkieletowej IP firmy Lumen. Najnowsza wersja szkodliwego oprogramowania stała się aktywna w połowie 2022 roku. Podejrzewa się, że celem kampanii jest gromadzenie danych i tworzenie tajnej sieci proxy.

Kampania Hiatus składa się z trzech komponentów: skryptu bash, HiatusRAT oraz wariantu tcpdump, który umożliwia przechwytywanie pakietów. HiatusRAT służy dwóm celom - zdalnej interakcji z zainfekowanym urządzeniem oraz działaniu jako urządzenie proxy SOCKS5 na routerze. Umożliwia to aktorowi pośredniczenie w ruchu C&C przez router w celu zaciemnienia poleceń i kontroli z dodatkowego agenta w innym miejscu.

Co to jest trojan zdalnego dostępu?

Trojan zdalnego dostępu (RAT) to rodzaj złośliwego oprogramowania, które zapewnia nieautoryzowany dostęp do komputera lub sieci ofiary. RAT są zwykle rozpowszechniane za pośrednictwem e-maili phishingowych, taktyk socjotechnicznych lub exploitów oprogramowania. Po zainstalowaniu atakujący uzyskuje zdalną kontrolę nad zaatakowanym urządzeniem i może wykonywać różne działania, takie jak kradzież poufnych danych, modyfikowanie plików lub instalowanie dodatkowego złośliwego oprogramowania. RAT mogą być również wykorzystywane do szpiegowania działań ofiary, rejestrowania naciśnięć klawiszy, robienia zrzutów ekranu oraz włączania kamery i mikrofonu ofiary. RAT są uważane za poważne zagrożenie dla prywatności i bezpieczeństwa, a użytkownicy powinni podjąć kroki, aby zapobiec ich instalacji, takie jak aktualizowanie oprogramowania antywirusowego i unikanie podejrzanych załączników do wiadomości e-mail lub pobierania.

March 7, 2023
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.