HiatusRAT нацелен на прошивку маршрутизатора

Исследователи из Lumen Black Lotus Labs обнаружили новую кампанию вредоносных программ, которую они назвали «Hiatus». Эта кампания нацелена на маршрутизаторы бизнес-класса, в основном модели DrayTek Vigor 2960 и 3900, которые могут поддерживать VPN-подключения для удаленных сотрудников и идеально подходят для предприятий среднего размера. После заражения вредоносное ПО развертывает два вредоносных двоичных файла — троян удаленного доступа (RAT), известный как HiatusRAT.

HiatusRAT позволяет злоумышленникам удаленно взаимодействовать с зараженной системой и превращать ее в скрытый прокси. Двоичный файл, ориентированный на захват пакетов, позволяет субъекту отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов. Угрозы, стоящие за этой кампанией, в первую очередь нацелены на вышедшие из эксплуатации маршрутизаторы с архитектурой i386, но также были обнаружены готовые двоичные файлы, нацеленные на чипы на базе MIPS, i386 и ARM.

Lumen Black Lotus Labs® идентифицировала не менее 100 инфицированных жертв, в основном в Европе и Латинской Америке, используя собственную телеметрию из глобальной IP-магистральной сети Lumen. Последняя версия вредоносного ПО стала активной в середине 2022 года. Предполагается, что кампания нацелена на сбор данных и создание скрытой прокси-сети.

Кампания Hiatus состоит из трех компонентов: сценария bash, HiatusRAT и варианта tcpdump, который позволяет перехватывать пакеты. HiatusRAT служит двум целям — удаленно взаимодействовать с зараженным устройством и выступать в качестве прокси-устройства SOCKS5 на маршрутизаторе. Это позволяет субъекту проксировать трафик C&C через маршрутизатор, чтобы скрыть управление и контроль от дополнительного агента в другом месте.

Что такое троян удаленного доступа?

Троян удаленного доступа (RAT) — это тип вредоносного программного обеспечения, которое обеспечивает несанкционированный доступ к компьютеру или сети жертвы. RAT обычно распространяются через фишинговые электронные письма, методы социальной инженерии или программные эксплойты. После установки злоумышленник получает удаленный контроль над скомпрометированным устройством и может выполнять различные действия, такие как кража конфиденциальных данных, изменение файлов или установка дополнительных вредоносных программ. RAT также можно использовать для слежки за действиями жертвы, записи нажатий клавиш, создания снимков экрана и включения камеры и микрофона жертвы. RAT считаются серьезной угрозой конфиденциальности и безопасности, и пользователи должны принимать меры для предотвращения их установки, например, обновлять свое антивирусное программное обеспечение и избегать подозрительных вложений электронной почты или загрузок.