Новият зловреден софтуер HiatusRAT се насочва към рутери от бизнес клас, за да шпионира тайно жертвите

Невиждан досега сложен зловреден софтуер е насочен към рутери от бизнес клас, за да шпионира тайно жертвите в Латинска Америка, Европа и Северна Америка поне от юли 2022 г.

Установено е, че неуловимата кампания, наречена Hiatus от Lumen Black Lotus Labs, разгръща два зловредни двоични файла – троянски кон за отдалечен достъп, наречен HiatusRAT, и вариант на tcpdump, който дава възможност за улавяне на пакети на целевото устройство.

„След като целевата система бъде заразена, HiatusRAT позволява на извършителя  да взаимодейства дистанционно със системата и използва предварително изградена функционалност […], за да превърне компрометираната машина в скрито прокси за извършителя „, се казва в доклад на компанията, споделен с The Hacker News.

„Бинарната програма за улавяне на пакети позволява на хакера да следи трафика на маршрутизатора на портове, свързани с комуникации за електронна поща и пренос на файлове.“

 

Клъстерът на заплахите е насочен предимно към излезлите от употреба модели 2960 и 3900 на рутера DrayTek Vigor, като към средата на февруари 2023 г. са компрометирани около 100 устройства, изложени на  интернет. Някои от засегнатите индустриални вертикали включват, наред с другото, фармацевтични продукти, ИТ услуги/консултантски фирми и общинска администрация.

Интересно е, че това представлява само малка част от 4100 маршрутизатора DrayTek 2960 и 3900, които са публично достъпни в интернет, което повишава вероятността „хакерът  умишлено да поддържа минимален отпечатък, за да ограничи излагането си на риск“.

Като се има предвид, че засегнатите устройства са рутери с висока пропускателна способност, които могат едновременно да поддържат стотици VPN връзки, се подозира, че целта е да се шпионират целите и да се създаде скрита прокси мрежа.

 

„Тези устройства обикновено се намират извън традиционния периметър за сигурност, което означава, че обикновено не се наблюдават или актуализират“, казва Марк Дехус, директор на отдела за разузнаване на заплахи в Lumen Black Lotus Labs. „Това помага на извършителя да установи и поддържа дългосрочна устойчивост без откриване.“

Точният първоначален вектор за достъп, използван при атаките, не е известен, но успешното проникване е последвано от разгръщане на bash скрипт, който изтегля и изпълнява HiatusRAT и двоичен файл за улавяне на пакети.

HiatusRAT е богат на функции и може да събира информация за маршрутизатора, изпълняваните процеси и да се свързва с отдалечен сървър, за да извлича файлове или да изпълнява произволни команди. Той също така може да прехвърля трафик за управление и контрол (C2) през маршрутизатора.

Използването на компрометирани маршрутизатори като прокси инфраструктура вероятно е опит за прикриване на операциите на C2, казват изследователите.

Констатациите идват повече от шест месеца след като Lumen Black Lotus Labs  хвърли светлина и върху несвързана кампания за зловреден софтуер, фокусирана върху рутери, която използва нов троянски кон, наречен ZuoRAT.

„Откриването на Hiatus потвърждава, че бандитите продължават да преследват експлоатирането на рутери“, каза Дехус. „Тези кампании показват необходимостта от защита на екосистемата на маршрутизаторите и те трябва да се наблюдават редовно, да се рестартират и актуализират, а излезлите от употреба устройства да се заменят.“

 

 

Източник: The Hacker News

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
22/01/2025

13 000 рутера MikroTik от ц...

Глобална мрежа от около 13 000...
15/01/2025

Хакери измамиха 100 служите...

Службата на финансовия контрольор в Масачузетс...
06/01/2025

Фалшивите CAPTCHA атаки нар...

Експерти по сигурността предупреждават, че през...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!