Pause RAT

Cybersicherheitsexperten haben eine bisher unbekannte Angriffskampagne entdeckt, bei der kompromittierte Router involviert sind. Die als „Hiatus“ bekannte Kampagne ist komplex und zielt auf Business-Grade-Router ab. Es setzt zwei kompromittierte Binärdateien ein, darunter einen Remote-Access-Trojaner (RAT) namens „HiatusRAT“ und eine Variante von tcpdump, die eine Paketerfassung auf dem Zielgerät durchführen kann. Details zur Drohkampagne und der beteiligten Malware wurden in einem Bericht eines Sicherheitsforschers veröffentlicht

Sobald die Zielsysteme infiziert sind, ermöglicht die HiatusRAT dem Angreifer, aus der Ferne mit den Geräten zu interagieren. Es verwendet vorgefertigte Funktionen, die höchst ungewöhnlich sind, um die kompromittierten Maschinen in einen verdeckten Proxy für den Bedrohungsakteur umzuwandeln. Die Packet-Capture-Binärdatei ermöglicht es den Angreifern, den Router-Verkehr an Ports zu überwachen, die mit der E-Mail- und Dateiübertragungskommunikation verbunden sind, und gibt ihnen effektiv die Möglichkeit, vertrauliche Informationen zu stehlen.

Die Angreifer zielen auf ausgediente Business-Router ab

Die als Hiatus bekannte Kampagne zielt auf die ausgedienten DrayTek Vigor-Modelle 2960 und 3900 ab, die auf einer i386-Architektur arbeiten. Infosec-Forscher haben jedoch auch vorgefertigte Binärdateien beobachtet, die auch auf MIPS-, i386- und ARM-basierte Architekturen abzielen. Diese Router werden in der Regel von mittelständischen Unternehmen verwendet und können VPN-Verbindungen für Hunderte von Remote-Mitarbeitern unterstützen.

Es wird vermutet, dass die Bedrohungsakteure hinter der Kampagne Ziele von Interesse infizieren, um Daten zu sammeln, während sie gleichzeitig Möglichkeiten zum Aufbau eines verdeckten Proxy-Netzwerks ins Visier nehmen. Die Kampagne besteht aus drei Hauptkomponenten: einem Bash-Skript, das nach der Exploitation bereitgestellt wird, zwei ausführbaren Dateien, die vom Bash-Skript abgerufen werden – HiatusRAT, und einer Variante von tcpdump, die die Paketerfassung ermöglicht.

Bei der Analyse wurde festgestellt, dass HiatusRAT zwei Hauptzwecken dient. Erstens ermöglicht es dem Akteur, aus der Ferne mit dem betroffenen Gerät zu interagieren, wodurch er Dateien herunterladen oder beliebige Befehle ausführen kann. Zweitens kann es als SOCKS5-Proxy-Gerät auf dem Router fungieren. Dies wird wahrscheinlich verwendet, um das Proxying von Command-and-Control (C2, C&C)-Verkehr durch den Router zu erleichtern, um ihn vor einem zusätzlichen Agenten an anderer Stelle zu verschleiern.

Die in HiatusRAT gefundenen Bedrohungsfähigkeiten

Der Angriff beginnt mit der Bereitstellung eines Bash-Skripts, das die RAT-Malware herunterlädt und ausführt, wodurch es ihr ermöglicht wird, das System, das Netzwerk, das Dateisystem zu erfassen und Daten vom kompromittierten Router zu verarbeiten.

HiatusRAT baut außerdem alle 8 Stunden eine Kommunikation mit einem Command-and-Control-Server auf und gewährt den Angreifern im Erfolgsfall Fernzugriff, um das infizierte Gerät zu überwachen. Die Reverse-Engineering-Analyse ergab mehrere extrem gefährliche Funktionen der Malware, darunter das Spawnen von Remote-Shells auf infizierten Geräten, das Lesen/Löschen/Exfiltrieren von Dateien auf den C2-Server, das Abrufen und Ausführen von Dateien vom C2-Server, das Ausführen von Skripten vom C2-Server und das Übertragen von TCP-Daten an Weiterleitungsstandorte über SOCKS v5-Proxys, die auf verletzten Routern eingerichtet sind. Wenn sich die Angreifer dazu entschließen, können sie die Bedrohung anweisen, sich selbst zu beenden.

Darüber hinaus verwenden die Angreifer SOCKS v5-Proxys, um Daten von anderen angegriffenen Geräten über den infizierten Router zu verschieben. Dies trägt dazu bei, Netzwerkdaten zu verschleiern und legitime Aktionen zu imitieren. Organisationen sollten sich dieser Bedrohung bewusst sein und Maßnahmen ergreifen, um ihre Netzwerke vor solchen Angriffen zu schützen.