Daha önce hiç görülmemiş karmaşık bir kötü amaçlı yazılım, en azından Temmuz 2022’den bu yana Latin Amerika, Avrupa ve Kuzey Amerika’daki kurbanları gizlice gözetlemek için iş sınıfı yönlendiricileri hedefliyor.
Zor kampanya, lakaplı boşluk Lumen Black Lotus Labs tarafından geliştirilen, HiatusRAT adlı bir uzaktan erişim trojanı ve bir uzaktan erişim truva atı olan iki kötü amaçlı ikili dosyayı dağıttığı bulundu tcpdump varyantı bu, hedef cihazda paket yakalamayı mümkün kılar.
“Hedeflenen bir sisteme virüs bulaştığında, HiatusRAT, tehdit aktörünün sistemle uzaktan etkileşime girmesine izin verir ve önceden oluşturulmuş işlevsellik kullanır. […] güvenliği ihlal edilmiş makineyi tehdit aktörü için gizli bir proxy’ye dönüştürmek için” şirket söz konusu The Hacker News ile paylaşılan bir raporda.
“Paket yakalama ikili dosyası, aktörün e-posta ve dosya aktarım iletişimleriyle ilişkili bağlantı noktalarındaki yönlendirici trafiğini izlemesini sağlar.”
Tehdit kümesi, öncelikle kullanım ömrü sonu (EoL) DrayTek Vigor yönlendirici modelleri 2960 ve 3900’ü seçiyor ve Şubat 2023’ün ortası itibariyle yaklaşık 100 internete maruz kalan cihaz güvenliği ihlal edilmiş durumda. Etkilenen sektör dikeylerinden bazıları arasında ilaç, BT hizmetleri/danışmanlık yer alıyor. firmalar ve belediye yönetimi, diğerleri arasında.
İlginç bir şekilde, bu, internet üzerinden halka açık olan 4.100 DrayTek 2960 ve 3900 yönlendiricisinin yalnızca küçük bir bölümünü temsil ediyor ve “tehdit aktörünün maruz kalmalarını sınırlamak için kasıtlı olarak minimum ayak izini sürdürmesi” olasılığını artırıyor.
Etkilenen cihazların aynı anda yüzlerce VPN bağlantısını destekleyebilen yüksek bant genişliğine sahip yönlendiriciler olduğu göz önüne alındığında, amacın hedefleri gözetlemek ve gizli bir proxy ağı kurmak olduğundan şüpheleniliyor.
Lumen Black Lotus Labs tehdit istihbaratı direktörü Mark Dehus, “Bu cihazlar tipik olarak geleneksel güvenlik çevresinin dışında yaşar, bu da genellikle izlenmediği veya güncellenmediği anlamına gelir” dedi. “Bu, aktörün tespit edilmeden uzun vadeli sebat oluşturmasına ve sürdürmesine yardımcı olur.”
Saldırılarda kullanılan tam ilk erişim vektörü bilinmiyor, ancak başarılı bir ihlali, HiatusRAT ve bir paket yakalama ikili dosyasını indiren ve yürüten bir bash betiğinin konuşlandırılması izler.
HiatusRAT, zengin özelliklere sahiptir ve yönlendirici bilgilerini toplayabilir, işlemleri çalıştırabilir ve dosyaları getirmek veya rasgele komutları çalıştırmak için uzak bir sunucuyla iletişim kurabilir. Ayrıca, yönlendirici aracılığıyla komut ve kontrol (C2) trafiğini temsil etme yeteneğine de sahiptir.
En Son Kötü Amaçlı Yazılım Kaçırma Taktiklerini ve Önleme Stratejilerini Keşfedin
Dosya tabanlı saldırılarla ilgili en tehlikeli 9 efsaneyi yıkmaya hazır mısınız? Yaklaşan web seminerimize katılın ve hasta sıfır enfeksiyonlarına ve sıfır gün güvenlik olaylarına karşı mücadelede bir kahraman olun!
Araştırmacılar, güvenliği ihlal edilmiş yönlendiricilerin proxy altyapısı olarak kullanılmasının muhtemelen C2 operasyonlarını gizleme girişimi olduğunu söyledi.
Bulgular, Lumen Black Lotus Labs’ın ZuoRAT adlı yeni bir truva atı kullanan ilgisiz yönlendirici odaklı bir kötü amaçlı yazılım kampanyasına ışık tutmasından altı ay sonra geldi.
Dehus, “Hiatus’un keşfi, aktörlerin yönlendiriciyi istismar etmeye devam ettiğini doğruluyor” dedi. “Bu kampanyalar, yönlendirici ekosisteminin güvenliğini sağlama ihtiyacını gösteriyor ve yönlendiriciler düzenli olarak izlenmeli, yeniden başlatılmalı ve güncellenmeli, kullanım ömrü sona eren cihazlar değiştirilmelidir.”
