Нова кампања злонамерног софтвера, позната као "Хиатус", циља на рутере малих предузећа да краду податке и шпијунирају жртве.
Нова „Хиатус“ кампања злонамерног софтвера напада пословне рутере
Нова кампања за малвер, названа „Хиатус“, циља рутере малих предузећа који користе малвер ХиатиусРАТ.
6. марта 2023. истраживачка фирма Лумен објавила је пост на блогу у којем се говори о овој злонамерној кампањи. У Лумен блог пост, наведено је да је „Лумен Блацк Лотус Лабс® идентификовао још једну, никада раније виђену кампању која укључује компромитоване рутере“.
ХиатусРАТ је врста малвера позната као а Тројанац за даљински приступ (РАТ). Тројанци за даљински приступ користе сајбер криминалци да би добили даљински приступ и контролу над циљаним уређајем. Чини се да је најновија верзија малвера ХиатусРАТ у употреби од јула 2022.
У Лумен блог посту је такође наведено да „ХиатусРАТ дозвољава актеру претње да даљински комуницира са системом, а користи унапред изграђену функционалност – од којих су неке веома необичне – да конвертује компромитовану машину у прикривени прокси за глумац претњи“.
Коришћење услужног програма командне линије "тцпдумп"., ХиатусРАТ може ухватити мрежни саобраћај који пролази преко циљаног рутера, омогућавајући крађу података. Лумен је такође спекулисао да злонамерни оператери укључени у овај напад имају за циљ да успоставе прикривену прокси мрежу путем напада.
ХиатусРАТ циља на одређене врсте рутера
ХиатусРАТ злонамерни софтвер се користи за напад на ДраиТек Вигор ВПН рутере на крају радног века, посебно на моделе 2690 и 3900 који користе и386 архитектуру. Ово су рутери високог пропусног опсега које користе предузећа да би удаљеним радницима пружили ВПН подршку.
Ове моделе рутера обично користе власници малих и средњих предузећа, који су у посебном ризику да буду циљани у овој кампањи. Истраживачи не знају како су ови ДраиТек Вигор рутери инфилтрирани у време писања.
Утврђено је да је преко 4.000 машина рањиво на ову кампању злонамерног софтвера средином фебруара, што значи да су многа предузећа и даље у опасности од напада.
Нападачи циљају само неколико ДраиТек рутера
Од свих ДраиТек 2690 и 3900 рутера који су данас повезани на интернет, Лумен је пријавио стопу инфекције од само 2 процента.
Ово указује да злонамерни оператери покушавају да задрже свој дигитални отисак на минимуму како би ограничили изложеност и избегли откривање. Лумен је такође сугерисао у претходно поменутом блог посту да ову тактику користе и нападачи да „одрже критичне тачке присуства“.
ХиатусРАТ представља стални ризик
У време писања овог текста, ХиатусРАТ представља ризик за многа мала предузећа, са хиљадама рутера који су још увек изложени овом малверу. Време ће показати колико је ДраиТек рутера успешно циљано у овој злонамерној кампањи.
