HiatusRAT il nuovo malware per i router spia segretamente le vittime
I Black Lotus Labs di Lumen hanno identificato una campagna mai vista in precedenza che coinvolge router compromessi. Denominata ” Hiatus “, infetta i router di livello aziendale e distribuisce due binari dannosi, tra cui un Trojan di accesso remoto (RAT) che gli esperti hanno chiamiato HiatusRAT e una variante di tcpdump che consente l’acquisizione di pacchetti sul dispositivo di destinazione.
Gli attori della minaccia dietro la campagna Hiatus hanno principalmente reso operativi i modelli DrayTek Vigor 2960 e 3900 che eseguono un’architettura i386. Scoperti anche binari precompilati destinati ad architetture basate su MIPS, i386 e ARM.
I modelli interessati sono router a larghezza di banda elevata in grado di supportare connessioni VPN per centinaia di lavoratori remoti e offrire la capacità ideale per le aziende di medie dimensioni. Gli esperti sospettano che l’attore infetti obiettivi di interesse per la raccolta di dati e obiettivi di opportunità allo scopo di stabilire una rete proxy segreta.
Questa campagna malevola è composta da tre componenti principali. Questi includono:
- uno script bash che viene distribuito dopo lo sfruttamento e due eseguibili recuperati dallo script bash
- HiatusRAT
- una variante di tcpdump che abilita la cattura dei pacchetti.
HiatusRAT, il trojan principale, è l’aspetto più singolare della campagna. Presenta due scopi: interagire in remoto con il dispositivo interessato, che consente all’attore di scaricare file o eseguire comandi arbitrari, e fungere da dispositivo proxy SOCKS5 sul router.
Una volta che un sistema preso di mira è stato infettato, HiatusRAT consente all’autore della minaccia di interagire in remoto con il sistema e utilizza funzionalità predefinite, alcune delle quali sono molto insolite, per convertire la macchina compromessa in un proxy nascosto per l’attore della minaccia. Il binario di acquisizione dei pacchetti consente all’attore di monitorare il traffico del router sulle porte associate alle comunicazioni di posta elettronica e di trasferimento file.
Le aziende colpite si trovano prevalentemente in Europa e America Latina. L’ultima versione del malware, la 1.5, è diventata attiva nel luglio 2022. Delle vittime che gli esperti sono stati in grado di identificare dall’ottobre 2022, la maggior parte degli indirizzi IP relativi ai bot era geolocalizzata in Europa.