Два новых двоичных файла вредоносного ПО, включая «HiatusRAT», предлагают уникальные возможности, которые указывают на необходимость повышения безопасности инфраструктуры маршрутизаторов компаний.
Обнаружена кампания кибершпионажа с использованием нового вредоносного ПО, направленная на маршрутизаторы DrayTek в компаниях среднего бизнеса по всему миру.
В отличие от большинства шпионских программ, эта кампания, получившая название «Hiatus» от Lumen Black Lotus Labs, преследует две цели: кража данных в ходе целевых атак и использование маршрутизаторов в качестве части скрытой инфраструктуры управления и контроля для организации трудноотслеживаемых прокси-кампаний.
Злоумышленники используют известные уязвимости для атак на маршрутизаторы DrayTek Vigor моделей 2960 и 3900 с архитектурой i368, согласно анализу, проведенному на этой неделе. Как только атакующие достигают первичных целей, они могут установить на маршрутизаторы два уникальных вредоносных двоичных файла.
Первый - это шпионская утилита под названием tcpdump, которая отслеживает трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов в соседней локальной сети жертвы. Она способна пассивно собирать содержимое электронной почты с открытым текстом при прохождении через маршрутизатор.
«Более развитые предприятия среднего бизнеса используют собственные почтовые серверы и иногда имеют выделенные интернет-линии» - говорится в отчете. «В таких сетях маршрутизаторы DrayTek используются в качестве шлюза корпоративной сети, который направляет трафик от почтовых серверов в локальной сети к публичному Интернету».
Второй двоичный файл - это троян удаленного доступа под названием HiatusRAT, который позволяет атакующим удаленно взаимодействовать с маршрутизаторами, загружать файлы или выполнять произвольные команды. Он также имеет набор встроенных функций, включая две прокси-функции, которые могут использоваться хакерами для управления другими кластерами заражения вредоносным ПО через зараженную Hiatus машину жертвы.
Прокси-функции HiatusRAT.
Две прокси-команды «специально созданы для обеспечения обфусцированной связи с другими машинами (например, зараженными другой RAT) через жертву Hiatus», говорится в отчете Black Lotus.
Это:
- socks5: Устанавливает прокси SOCKS версии 5 на взломанном маршрутизаторе.
- tcp_forward: Для управления прокси принимает указанный порт прослушивания, IP пересылки и порт пересылки и передает любые TCP-данные, которые были отправлены на порт прослушивания на взломанном хосте, на место пересылки. Он устанавливает два потока, чтобы обеспечить двунаправленную связь между отправителем и указанным IP-адресом пересылки.
Возможность превратить маршрутизатор в прокси-устройство SOCKS5 «позволяет атакующему взаимодействовать с вредоносными пассивными бэкдорами, такими как веб-оболочки, через зараженные маршрутизаторы в качестве промежуточной точки» - объясняет Дэнни Адамитис, главный исследователь угроз в Lumen Black Lotus. «Использование взломанного маршрутизатора в качестве коммуникатора для бэкдоров и веб-оболочек позволяет обходить меры защиты на основе геозонирования и избегать отметки на сетевых средствах обнаружения».
Функция TCP, тем временем, вероятно, была разработана для пересылки маячков или взаимодействия с другими RAT на других зараженных машинах, что «позволяет маршрутизатору быть IP-адресом CnC для вредоносного ПО на отдельном устройстве».
Все это означает, что организациям не стоит недооценивать свою ценность как мишени: «Любой человек с маршрутизатором, пользующийся Интернетом, потенциально может стать целью для Hiatus - его можно использовать в качестве прокси для другой кампании - даже если организация, владеющая маршрутизатором, не рассматривает себя в качестве объекта атаки».
Различные типы жертв Hiatus.
Кампания необычайно мала, заражено всего около 100 жертв, в основном в Европе и Латинской Америке.
«Это примерно 2% от общего числа маршрутизаторов DrayTek 2960 и 3900, которые в настоящее время выходят в Интернет» - говорит Адамитис. «Это говорит о том, что злоумышленники намеренно скрывают следы, чтобы ограничить свое воздействие и сохранить критические точки присутствия».
С точки зрения шпионажа, некоторые из жертв являются «целями внедрения», говорит исследователь, и включают ИТ-сервисные и консалтинговые фирмы.
«Мы считаем, что угроза нацелена на эти организации, чтобы получить доступ к конфиденциальной информации об окружении своих клиентов, а затем, используя собранные почтовые сообщения, проводят последующие атаки».
Он добавляет, что вторая группа жертв может считаться объектами, представляющими непосредственный интерес для кражи данных, «в которую входят муниципальные правительственные учреждения и некоторые организации, работающие в энергетическом секторе».
Хотя число основных жертв невелико, масштаб кражи данных позволяет предположить, что виновником Hiatus является продвинутая постоянная угроза.
«Исходя из объема данных, которые будут собраны в результате этих доступов, мы можем предположить, что субъект обладает большими ресурсами и способен обрабатывать большие объемы данных, что позволяет предположить, что он действует при поддержке государства» - отмечает Адамитис.
Какие уроки можно вынести из кампании Hiatus.
Главный вывод для предприятий заключается в том, что традиционное представление о безопасности периметра должно быть адаптировано с учетом маршрутизаторов.
«Преимущества использования маршрутизаторов для сбора данных заключаются в том, что они не контролируются, и весь трафик проходит через них» - объясняет Адамитис. «Это контрастирует с машинами Windows и почтовыми серверами, которые обычно имеют средства обнаружения и реагирования на конечные точки (EDR) и брандмауэры, развернутые в корпоративных сетях. Отсутствие мониторинга позволяет атакующему собирать ту же информацию, которая была бы получена без прямого взаимодействия с любыми активами, на которых могут быть предустановлены продукты EDR».
Чтобы защитить себя, предприятия должны убедиться, что маршрутизаторы «регулярно проверяются, контролируются и исправляются, как и любое другое устройство периметра».
Организациям следует принять меры: Впервые двоичные файлы Hiatus были замечены в июле прошлого года, а новые заражения продолжались, по крайней мере, до середины февраля. В атаках используется версия 1.5 вредоносной программы, что указывает на то, что до июля могла быть активность с использованием версии 1.0. Компания Black Lotus заявила, что полностью ожидает продолжения активности.
Источник: https://www.darkreading.com