休止RAT

サイバーセキュリティの専門家は、侵害されたルーターを含む、これまで知られていなかった攻撃キャンペーンを発見しました. 「Hiatus」として知られるキャンペーンは複雑で、ビジネス グレードのルーターをターゲットにしています。これは、「HiatusRAT」と呼ばれるリモート アクセス トロイの木馬 (RAT) と、ターゲット デバイスでパケット キャプチャを実行できる tcpdump の亜種を含む、侵害された 2 つのバイナリを展開します。脅迫キャンペーンと関連するマルウェアに関する詳細は、セキュリティ研究者からのレポートで公開されました。

標的のシステムが感染すると、HiatusRAT により、脅威アクターはリモートでデバイスとやり取りできるようになります。非常に珍しい事前構築済みの機能を使用して、侵害されたマシンを攻撃者の秘密のプロキシに変換します。パケット キャプチャ バイナリにより、攻撃者は電子メールやファイル転送通信に関連するポートでルーター トラフィックを監視できるようになり、機密情報を効果的に盗むことができます。

攻撃者は、使用済みのビジネス ルーターを標的にしています

Hiatus として知られるキャンペーンは、i386 アーキテクチャで動作する生産終了の DrayTek Vigor モデル 2960 および 3900 をターゲットにしています。ただし、情報セキュリティの研究者は、MIPS、i386、および ARM ベースのアーキテクチャもターゲットとするビルド済みのバイナリも確認しています。これらのルーターは通常、中規模の企業で使用され、数百人のリモート ワーカーの VPN 接続をサポートできます。

キャンペーンの背後にいる攻撃者は、関心のあるターゲットに感染してデータを収集すると同時に、秘密のプロキシ ネットワークを確立する機会を狙っていると考えられます。このキャンペーンは、エクスプロイト後に展開される bash スクリプト、bash スクリプトによって取得される 2 つの実行可能ファイル (HiatusRAT)、およびパケット キャプチャを可能にする tcpdump の亜種の 3 つの主要なコンポーネントで構成されます。

分析の結果、HiatuRAT は主に 2 つの目的を果たしていることがわかりました。第 1 に、攻撃者は影響を受けるデバイスとリモートでやり取りできるため、ファイルをダウンロードしたり、任意のコマンドを実行したりできます。次に、ルーター上で SOCKS5 プロキシ デバイスとして動作できます。これは、別の場所にある追加のエージェントからトラフィックを難読化するために、ルーターを介したコマンド アンド コントロール (C2、C&C) トラフィックのプロキシを容易にするために使用される可能性があります。

HiatusRAT に見られる脅威的な機能

攻撃は、RAT マルウェアをダウンロードして実行する bash スクリプトの展開から始まり、システム、ネットワーク、ファイル システムを収集し、侵害されたルーターからデータを処理できるようにします。

HiatusRAT はまた、コマンド アンド コントロール サーバーとの通信を 8 時間ごとに確立し、成功すると、感染したデバイスを監視するためのリモート アクセスを攻撃者に与えます。リバース エンジニアリング分析により、感染したデバイスでのリモート シェルの生成、C2 サーバーへのファイルの読み取り/削除/抽出、C2 サーバーからのファイルの取得と実行、C2 サーバーからのスクリプトの実行、TCP データの送信など、マルウェアの非常に危険な機能がいくつか明らかになりました。侵害されたルーターに設定された SOCKS v5 プロキシを介して転送先に設定されます。攻撃者がそうすることを決定した場合、攻撃者は脅威にそれ自体を終了するように指示できます。

さらに、攻撃者は SOCKS v5 プロキシを使用して、侵害された他のデバイスから感染したルーター経由でデータを移動します。これにより、ネットワーク データが隠蔽され、正当なアクションが模倣されます。組織はこの脅威を認識し、そのような攻撃からネットワークを保護するための対策を講じる必要があります。