Un logiciel malveillant complexe inédit cible les routeurs professionnels pour espionner secrètement les victimes en Amérique latine, en Europe et en Amérique du Nord au moins depuis juillet 2022.
La campagne insaisissable, surnommée Hiatus par Lumen Black Lotus Labs, s’est avéré déployer deux binaires malveillants, un cheval de Troie d’accès à distance appelé HiatusRAT et un variante de tcpdump qui permet de capturer la capture de paquets sur le périphérique cible.
« Une fois qu’un système ciblé est infecté, HiatusRAT permet à l’acteur de la menace d’interagir à distance avec le système, et il utilise des fonctionnalités prédéfinies […] pour convertir la machine compromise en un proxy secret pour l’auteur de la menace », la société a dit dans un rapport partagé avec The Hacker News.
« Le binaire de capture de paquets permet à l’acteur de surveiller le trafic du routeur sur les ports associés aux communications de courrier électronique et de transfert de fichiers. »
Le groupe de menaces cible principalement les modèles de routeur DrayTek Vigor en fin de vie (EoL) 2960 et 3900, avec environ 100 appareils exposés à Internet compromis à la mi-février 2023. Certains des secteurs verticaux de l’industrie touchés comprennent les produits pharmaceutiques, les services informatiques/le conseil les entreprises et les administrations municipales, entre autres.
Fait intéressant, cela ne représente qu’une petite fraction des 4 100 routeurs DrayTek 2960 et 3900 accessibles au public sur Internet, ce qui soulève la possibilité que « l’acteur de la menace maintienne intentionnellement une empreinte minimale pour limiter son exposition ».
Étant donné que les appareils concernés sont des routeurs à large bande passante pouvant prendre en charge simultanément des centaines de connexions VPN, on soupçonne que l’objectif est d’espionner des cibles et d’établir un réseau proxy furtif.
« Ces appareils vivent généralement en dehors du périmètre de sécurité traditionnel, ce qui signifie qu’ils ne sont généralement pas surveillés ou mis à jour », a déclaré Mark Dehus, directeur des renseignements sur les menaces pour Lumen Black Lotus Labs. « Cela aide l’acteur à établir et à maintenir une persistance à long terme sans détection. »
Le vecteur d’accès initial exact utilisé dans les attaques est inconnu, mais une violation réussie est suivie du déploiement d’un script bash qui télécharge et exécute HiatusRAT et un binaire de capture de paquets.
HiatusRAT est riche en fonctionnalités et peut collecter des informations sur le routeur, exécuter des processus et contacter un serveur distant pour récupérer des fichiers ou exécuter des commandes arbitraires. Il est également capable de transmettre par proxy le trafic de commande et de contrôle (C2) via le routeur.
Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants
Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !
L’utilisation de routeurs compromis comme infrastructure proxy est probablement une tentative d’obscurcir les opérations C2, ont déclaré les chercheurs.
Les résultats surviennent plus de six mois après que Lumen Black Lotus Labs a également fait la lumière sur une campagne de logiciels malveillants sans rapport avec les routeurs qui utilisait un nouveau cheval de Troie appelé ZuoRAT.
« La découverte de Hiatus confirme que les acteurs continuent à poursuivre l’exploitation du routeur », a déclaré Dehus. « Ces campagnes démontrent la nécessité de sécuriser l’écosystème des routeurs, et les routeurs doivent être régulièrement surveillés, redémarrés et mis à jour, tandis que les appareils en fin de vie doivent être remplacés. »