HiatusRAT 以路由器固件为目标
Lumen Black Lotus Labs 的研究人员发现了一个新的恶意软件活动,他们将其命名为“Hiatus”。该活动针对企业级路由器,主要是 DrayTek Vigor 型号 2960 和 3900,它们可以支持远程工作者的 VPN 连接,非常适合中型企业。一旦被感染,该恶意软件就会部署两个恶意二进制文件——一个称为 HiatusRAT 的远程访问木马 (RAT)。
HiatusRAT 允许攻击者远程与受感染系统交互并将其转换为隐蔽代理。专注于数据包捕获的二进制文件允许攻击者监控与电子邮件和文件传输通信相关的端口上的路由器流量。该活动背后的威胁参与者主要针对运行 i386 架构的报废路由器,但也发现了针对 MIPS、i386 和基于 ARM 的芯片的预构建二进制文件。
Lumen Black Lotus Labs® 使用来自 Lumen 全球 IP 骨干网的专有遥测技术,确定了至少 100 名受感染的受害者,主要分布在欧洲和拉丁美洲。该恶意软件的最新版本于 2022 年年中开始活跃。该活动被怀疑以数据收集和建立隐蔽代理网络为目标。
Hiatus 活动由三个部分组成:bash 脚本、HiatusRAT 和启用数据包捕获的 tcpdump 变体。 HiatusRAT 有两个目的——与受感染的设备进行远程交互,并充当路由器上的 SOCKS5 代理设备。这使参与者能够通过路由器代理 C&C 流量,以混淆来自其他地方的其他代理的命令和控制。
什么是远程访问木马?
远程访问特洛伊木马 (RAT) 是一种恶意软件,可提供对受害者计算机或网络的未授权访问。 RAT 通常通过网络钓鱼电子邮件、社会工程策略或软件漏洞传播。安装后,攻击者可以远程控制受感染的设备,并可以执行各种操作,例如窃取敏感数据、修改文件或安装其他恶意软件。 RAT 还可用于监视受害者的活动、记录击键、截取屏幕截图以及打开受害者的摄像头和麦克风。 RAT 被认为是对隐私和安全的严重威胁,用户应采取措施防止安装它们,例如使防病毒软件保持最新状态并避免可疑的电子邮件附件或下载。