HiatusRAT 以路由器固件為目標
Lumen Black Lotus Labs 的研究人員發現了一個新的惡意軟件活動,他們將其命名為“Hiatus”。該活動針對企業級路由器,主要是 DrayTek Vigor 型號 2960 和 3900,它們可以支持遠程工作者的 VPN 連接,非常適合中型企業。一旦被感染,該惡意軟件就會部署兩個惡意二進製文件——一個稱為 HiatusRAT 的遠程訪問木馬 (RAT)。
HiatusRAT 允許攻擊者遠程與受感染系統交互並將其轉換為隱蔽代理。專注於數據包捕獲的二進製文件允許攻擊者監控與電子郵件和文件傳輸通信相關的端口上的路由器流量。該活動背後的威脅參與者主要針對運行 i386 架構的報廢路由器,但也發現了針對 MIPS、i386 和基於 ARM 的芯片的預構建二進製文件。
Lumen Black Lotus Labs® 使用來自 Lumen 全球 IP 骨幹網的專有遙測技術,確定了至少 100 名受感染的受害者,主要分佈在歐洲和拉丁美洲。該惡意軟件的最新版本於 2022 年年中開始活躍。該活動被懷疑以數據收集和建立隱蔽代理網絡為目標。
Hiatus 活動由三個部分組成:bash 腳本、HiatusRAT 和啟用數據包捕獲的 tcpdump 變體。 HiatusRAT 有兩個目的——與受感染的設備進行遠程交互,並充當路由器上的 SOCKS5 代理設備。這使參與者能夠通過路由器代理 C&C 流量,以混淆來自其他地方的其他代理的命令和控制。
什麼是遠程訪問木馬?
遠程訪問特洛伊木馬 (RAT) 是一種惡意軟件,可提供對受害者計算機或網絡的未授權訪問。 RAT 通常通過網絡釣魚電子郵件、社會工程策略或軟件漏洞傳播。安裝後,攻擊者可以遠程控制受感染的設備,並可以執行各種操作,例如竊取敏感數據、修改文件或安裝其他惡意軟件。 RAT 還可用於監視受害者的活動、記錄擊鍵、截取屏幕截圖以及打開受害者的攝像頭和麥克風。 RAT 被認為是對隱私和安全的嚴重威脅,用戶應採取措施防止安裝它們,例如使防病毒軟件保持最新狀態並避免可疑的電子郵件附件或下載。