Black Lotus Labs’tan siber güvenlik araştırmacıları, yakın zamanda savunmasız iş yönlendiricilerini kullanan yeni bir kampanyayı ortaya çıkardı. (yeni sekmede açılır) hassas verileri çalmak ve gizli bir proxy ağı oluşturmak için.
tarafından bildirildiği gibi BleepingBilgisayar (yeni sekmede açılır)araştırmacılar DrayTek Vigor yönlendiricilerinin iki modelinin – 2960 ve 3900 – HiatusRAT adlı bir kötü amaçlı yazılım parçasını dağıtmak için kullanıldığını keşfettiler.
Bu uzaktan erişim truva atı, virüs bulaşmış uç noktada çeşitli komutları yürüten daha fazla kötü amaçlı yükleri indirmek ve komut ve kontrol sunucusu trafiğini geçirmek için cihazı bir SOCKS5 proxy’ye dönüştürmek için kullanılır.
Veri çalmak ve dosyaları çalıştırmak
Rapora göre kurbanların çoğu Avrupa, Kuzey ve Güney Amerika’da. Araştırmacılar, virüslü cihazlar için ilk temas noktasının ne olduğundan emin değiller.
Yine de, kötü amaçlı yazılıma tersine mühendislik uyguladılar ve sistem verilerini (MAC adresi, çekirdek sürümü vb.), ağ verilerini (IP adresleri), dosya sistemi verilerini ve işlem verilerini (işlem adları, kimlikler, UID’ler vb.) çaldığını keşfettiler. .). Ayrıca RAT, sunucuya her sekiz saatte bir, saldırganların virüslü cihazı izlemek için kullandığı bir kalp atışı POST’u gönderir.
Ayrıca dosyaları okuyabilir, silebilir ve yükleyebilir, programları indirip çalıştırabilir, herhangi bir TCP veri setini ana bilgisayarın dinleme bağlantı noktasına iletebilir ve gerekirse kendini durdurabilir.
Araştırmacılar, tehdit aktörlerinin yönlendirici üzerinden hareket eden hassas verileri yakalayabilmesi için tüm bunların gerekli olduğunu söylüyor.
“Bu paket yakalama verileri belirli bir dosya uzunluğuna ulaştığında, 46.8.113 adresinde bulunan “upload C2″ ye gönderilir.[.]227 ana bilgisayar yönlendiricisi hakkındaki bilgilerle birlikte” dedi araştırmacılar.
Araştırmacılar, pek çok firmaya Hiatus bulaşmamış olsa da, bilgisayar korsanlarının e-posta ve FTP kimlik bilgilerini çalabileceği için etkisinin hala büyük olabileceğini söyledi.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)