Вредонос «Hiatus» заражает маршрутизаторы DrayTek.

9 марта 2023 г. 14:16
 364

Обнаружена кампания кибершпионажа с использованием нового вредоносного ПО.

Два новых двоичных файла вредоносного ПО, включая «HiatusRAT», предлагают уникальные возможности, которые указывают на необходимость повышения безопасности инфраструктуры маршрутизаторов компаний.

Обнаружена кампания кибершпионажа с использованием нового вредоносного ПО, направленная на маршрутизаторы DrayTek в компаниях среднего бизнеса по всему миру.

В отличие от большинства шпионских программ, эта кампания, получившая название «Hiatus» от Lumen Black Lotus Labs, преследует две цели: кража данных в ходе целевых атак и использование маршрутизаторов в качестве части скрытой инфраструктуры управления и контроля для организации трудноотслеживаемых прокси-кампаний.

Злоумышленники используют известные уязвимости для атак на маршрутизаторы DrayTek Vigor моделей 2960 и 3900 с архитектурой i368, согласно анализу, проведенному на этой неделе. Как только атакующие достигают первичных целей, они могут установить на маршрутизаторы два уникальных вредоносных двоичных файла.

Первый - это шпионская утилита под названием tcpdump, которая отслеживает трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов в соседней локальной сети жертвы. Она способна пассивно собирать содержимое электронной почты с открытым текстом при прохождении через маршрутизатор.

«Более развитые предприятия среднего бизнеса используют собственные почтовые серверы и иногда имеют выделенные интернет-линии» - говорится в отчете. «В таких сетях маршрутизаторы DrayTek используются в качестве шлюза корпоративной сети, который направляет трафик от почтовых серверов в локальной сети к публичному Интернету».

Второй двоичный файл - это троян удаленного доступа под названием HiatusRAT, который позволяет атакующим удаленно взаимодействовать с маршрутизаторами, загружать файлы или выполнять произвольные команды. Он также имеет набор встроенных функций, включая две прокси-функции, которые могут использоваться хакерами для управления другими кластерами заражения вредоносным ПО через зараженную Hiatus машину жертвы.

 

Прокси-функции HiatusRAT.

Две прокси-команды «специально созданы для обеспечения обфусцированной связи с другими машинами (например, зараженными другой RAT) через жертву Hiatus», говорится в отчете Black Lotus.

 

Это:

  • socks5: Устанавливает прокси SOCKS версии 5 на взломанном маршрутизаторе.
  • tcp_forward: Для управления прокси принимает указанный порт прослушивания, IP пересылки и порт пересылки и передает любые TCP-данные, которые были отправлены на порт прослушивания на взломанном хосте, на место пересылки. Он устанавливает два потока, чтобы обеспечить двунаправленную связь между отправителем и указанным IP-адресом пересылки.

 

Возможность превратить маршрутизатор в прокси-устройство SOCKS5 «позволяет атакующему взаимодействовать с вредоносными пассивными бэкдорами, такими как веб-оболочки, через зараженные маршрутизаторы в качестве промежуточной точки» - объясняет Дэнни Адамитис, главный исследователь угроз в Lumen Black Lotus. «Использование взломанного маршрутизатора в качестве коммуникатора для бэкдоров и веб-оболочек позволяет обходить меры защиты на основе геозонирования и избегать отметки на сетевых средствах обнаружения».

Функция TCP, тем временем, вероятно, была разработана для пересылки маячков или взаимодействия с другими RAT на других зараженных машинах, что «позволяет маршрутизатору быть IP-адресом CnC для вредоносного ПО на отдельном устройстве».

Все это означает, что организациям не стоит недооценивать свою ценность как мишени: «Любой человек с маршрутизатором, пользующийся Интернетом, потенциально может стать целью для Hiatus - его можно использовать в качестве прокси для другой кампании - даже если организация, владеющая маршрутизатором, не рассматривает себя в качестве объекта атаки».

 

Различные типы жертв Hiatus.

Кампания необычайно мала, заражено всего около 100 жертв, в основном в Европе и Латинской Америке.

«Это примерно 2% от общего числа маршрутизаторов DrayTek 2960 и 3900, которые в настоящее время выходят в Интернет» - говорит Адамитис. «Это говорит о том, что злоумышленники намеренно скрывают следы, чтобы ограничить свое воздействие и сохранить критические точки присутствия».

С точки зрения шпионажа, некоторые из жертв являются «целями внедрения», говорит исследователь, и включают ИТ-сервисные и консалтинговые фирмы.

«Мы считаем, что угроза нацелена на эти организации, чтобы получить доступ к конфиденциальной информации об окружении своих клиентов, а затем, используя собранные почтовые сообщения, проводят последующие атаки».

Он добавляет, что вторая группа жертв может считаться объектами, представляющими непосредственный интерес для кражи данных, «в которую входят муниципальные правительственные учреждения и некоторые организации, работающие в энергетическом секторе».

Хотя число основных жертв невелико, масштаб кражи данных позволяет предположить, что виновником Hiatus является продвинутая постоянная угроза.

«Исходя из объема данных, которые будут собраны в результате этих доступов, мы можем предположить, что субъект обладает большими ресурсами и способен обрабатывать большие объемы данных, что позволяет предположить, что он действует при поддержке государства» - отмечает Адамитис.

 

Какие уроки можно вынести из кампании Hiatus.

Главный вывод для предприятий заключается в том, что традиционное представление о безопасности периметра должно быть адаптировано с учетом маршрутизаторов.

«Преимущества использования маршрутизаторов для сбора данных заключаются в том, что они не контролируются, и весь трафик проходит через них» - объясняет Адамитис. «Это контрастирует с машинами Windows и почтовыми серверами, которые обычно имеют средства обнаружения и реагирования на конечные точки (EDR) и брандмауэры, развернутые в корпоративных сетях. Отсутствие мониторинга позволяет атакующему собирать ту же информацию, которая была бы получена без прямого взаимодействия с любыми активами, на которых могут быть предустановлены продукты EDR».

Чтобы защитить себя, предприятия должны убедиться, что маршрутизаторы «регулярно проверяются, контролируются и исправляются, как и любое другое устройство периметра».

Организациям следует принять меры: Впервые двоичные файлы Hiatus были замечены в июле прошлого года, а новые заражения продолжались, по крайней мере, до середины февраля. В атаках используется версия 1.5 вредоносной программы, что указывает на то, что до июля могла быть активность с использованием версии 1.0. Компания Black Lotus заявила, что полностью ожидает продолжения активности.

 

Источник: https://www.darkreading.com

Системы Информационной Безопасности