HiatusRAT恶意软件新变种以商业级路由器为目标暗中监视受害者

至少从2022年7月开始，一种前所未见的复杂恶意软件以企业级路由器为目标，秘密监视拉丁美洲、欧洲和北美的受害者。

这个难以捉摸的活动被Lumen Black Lotus Labs称为Hiatus，已被发现部署了两个恶意二进制文件，一个称为HiatusRAT 的远程访问木马和一个tcpdump的变体，它可以在目标设备上捕获数据包。

“一旦目标系统被感染，HiatusRAT允许威胁行为者与系统进行远程交互，并利用预构建的功能进行攻击行为。

“数据包捕获二进制文件使攻击者能够监控与电子邮件和文件传输通信相关的端口上的路由器流量。”

威胁集群主要挑出报废 (EoL)DrayTek Vigor路由器型号2960和3900，截至2023年2月中旬，大约有100台暴露在互联网上的设备受到攻击。一些受影响的垂直行业包括制药、IT 服务/咨询公司和政府部门等。

有趣的是，这仅占可通过互联网公开访问的4,100个DrayTek 2960和3900路由器的一小部分，这增加了“威胁行为者故意保持最小足迹以限制其暴露”的可能性。

鉴于受影响的设备是可以同时支持数百个VPN连接的高带宽路由器，因此人们怀疑目标是监视目标并建立隐秘的代理网络。

Lumen Black Lotus Labs威胁情报主管Mark Dehus表示：“这些设备通常位于传统安全边界之外，这意味着它们通常不会受到监控或更新。”“这有助于演员在不被发现的情况下建立和保持长期的持久性。”

攻击中使用的确切初始访问向量是未知的，但成功破坏之后会部署一个bash脚本，该脚本下载并执行HiatusRAT和一个数据包捕获二进制文件。

HiatusRAT功能丰富，可以收集路由器信息、正在运行的进程，并联系远程服务器以获取文件或运行任意命令。它还能够通过路由器代理命令和控制(C2)流量。

研究人员表示，使用受损路由器作为代理基础设施可能是为了混淆C2操作。

在Lumen Black Lotus Labs还揭示了一个不相关的以路由器为中心的恶意软件活动之后的六个多月，该发现使用了一种名为ZuoRAT的新型木马。

Dehus 说：“Hiatus的发现证实了攻击者正在继续对路由器进行利用。” “这些活动表明需要保护路由器生态系统，应该定期监控、重启和更新路由器，同时更换报废设备。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4720.html