HiatusRAT恶意软件再现：台企和美军遭受攻击

HiatusRAT 恶意软件背后的威胁行为者已从中断状态中回归，针对台湾组织和美国军事采购系统发起了新一波侦察和目标活动。

Lumen Black Lotus Labs在上周发布的一份报告中表示，除了针对不同架构重新编译恶意软件样本外，据说这些工件还托管在新的虚拟专用服务器 (VPS) 上。

这家网络安全公司将这一活动集群描述为“厚颜无耻”和“最大胆的活动之一”，表明没有放缓的迹象。目前，威胁行为者的身份和来源尚不清楚。

目标包括半导体和化学品制造商等商业公司、台湾至少一个市政府组织以及与提交和检索国防合同提案相关的美国国防部 (DoD) 服务器。

该网络安全公司于 2023 年 3 月首次披露 HiatusRAT，称其以企业级路由器为目标，秘密监视主要位于拉丁美洲和欧洲的受害者，这是 2022 年 7 月开始的活动的一部分。

全球多达 100 个边缘网络设备被感染，它们被动收集流量并将其转换为命令和控制 (C2) 基础设施的代理网络。

从 6 月中旬到 2023 年 8 月观察到的最新一组攻击需要使用专门为 Arm、Intel 80386 和 x86-64 架构以及 MIPS、MIPS64 和 i386 设计的预构建 HiatusRAT 二进制文件。

用于确定与托管恶意软件的服务器的连接的遥测分析显示，“超过 91% 的入站连接来自台湾，而且似乎更倾向于 Ruckus 制造的边缘设备。”

HiatusRAT 基础设施由有效负载和侦察服务器组成，它们直接与受害者网络进行通信。这些服务器由第 1 层服务器征用，而第 1 层服务器又由第 2 层服务器操作和管理。

攻击者已被确定为在 6 月 13 日使用两个不同的 IP 地址 207.246.80[.]240 和 45.63.70[.]57 连接到 DoD 服务器大约两个小时。预计在此期间传输了 11 MB 的双向数据。

目前尚不清楚最终目标是什么，但怀疑对手可能一直在寻找与当前和未来军事合同相关的公开信息，以用于未来的目标。

近几个月来，以路由器等外围资产为目标已成为一种模式，与中国相关的威胁行为者利用未修补的Fortinet和SonicWall 设备中的安全缺陷，在目标环境中建立长期持久性。

该公司表示：“尽管事先披露了工具和功能，但威胁行为者采取了最微小的步骤来更换现有的有效负载服务器并继续其操作，甚至没有尝试重新配置其 C2 基础设施。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7796.html