HiatusRAT

Des experts en cybersécurité ont découvert une campagne d'attaque jusqu'alors inconnue impliquant des routeurs compromis. La campagne, connue sous le nom de "Hiatus", est complexe et cible les routeurs de qualité professionnelle. Il déploie deux binaires compromis, dont un cheval de Troie d'accès à distance (RAT) appelé « HiatusRAT » et une variante de tcpdump qui peut effectuer la capture de paquets sur le périphérique cible. Des détails sur la campagne menaçante et les logiciels malveillants impliqués ont été publiés dans un rapport d'un chercheur en sécurité

Une fois les systèmes ciblés infectés, le HiatusRAT permet à l'auteur de la menace d'interagir à distance avec les appareils. Il utilise une fonctionnalité prédéfinie très inhabituelle pour convertir les machines compromises en un proxy secret pour l'acteur de la menace. Le binaire de capture de paquets permet aux acteurs de la menace de surveiller le trafic du routeur sur les ports associés aux communications de courrier électronique et de transfert de fichiers, leur donnant ainsi la possibilité de voler des informations confidentielles.

Les attaquants ciblent les routeurs d'entreprise en fin de vie

La campagne connue sous le nom de Hiatus cible les modèles DrayTek Vigor 2960 et 3900 en fin de vie, qui fonctionnent sur une architecture i386. Cependant, les chercheurs d'infosec ont également observé des binaires prédéfinis qui ciblent également les architectures basées sur MIPS, i386 et ARM. Ces routeurs sont généralement utilisés par les entreprises de taille moyenne et peuvent prendre en charge les connexions VPN pour des centaines de télétravailleurs.

On soupçonne que les acteurs de la menace à l'origine de la campagne infectent des cibles d'intérêt pour collecter des données tout en ciblant également les opportunités d'établir un réseau de proxy secret. La campagne se compose de trois composants principaux : un script bash déployé après l'exploitation, deux exécutables récupérés par le script bash - HiatusRAT et une variante de tcpdump qui permet la capture de paquets.

Après analyse, il a été constaté que HiatusRAT sert deux objectifs principaux. Premièrement, il permet à l'acteur d'interagir à distance avec l'appareil concerné, lui permettant de télécharger des fichiers ou d'exécuter des commandes arbitraires. Deuxièmement, il peut fonctionner comme un périphérique proxy SOCKS5 sur le routeur. Ceci est probablement utilisé pour faciliter la transmission par proxy du trafic de commande et de contrôle (C2, C&C) via le routeur afin de le dissimuler à un agent supplémentaire ailleurs.

Les capacités menaçantes trouvées dans HiatusRAT

L'attaque commence par le déploiement d'un script bash qui télécharge et exécute le logiciel malveillant RAT, lui permettant de collecter le système, le réseau, le système de fichiers et de traiter les données du routeur compromis.

HiatusRAT établit également une communication avec un serveur de commande et de contrôle toutes les 8 heures et, en cas de succès, donne aux attaquants un accès à distance pour superviser l'appareil infecté. L'analyse d'ingénierie inverse a révélé plusieurs caractéristiques extrêmement dangereuses du logiciel malveillant, notamment la création de shells distants sur des appareils infectés, la lecture/suppression/exfiltration de fichiers sur le serveur C2, la récupération et l'exécution de fichiers à partir du serveur C2, l'exécution de scripts à partir du serveur C2, la transmission de données TCP. définit des emplacements de transfert via des proxys SOCKS v5 configurés sur des routeurs piratés. Si les attaquants décident de le faire, ils peuvent ordonner à la menace de se terminer.

De plus, les attaquants utilisent des proxies SOCKS v5 pour déplacer les données d'autres appareils piratés via le routeur infecté. Cela permet de masquer les données du réseau et d'imiter des actions légitimes. Les organisations doivent être conscientes de cette menace et prendre des mesures pour sécuriser leurs réseaux contre de telles attaques.