新的HiatusRAT活动针对台湾和美国的军事采购系统

HiatusRAT 恶意软件运营商重新出现，针对台湾组织和美国军事采购系统发起了新一波攻击。

2023 年 3 月，Lumen Black Lotus Labs 的研究人员发现了一个名为“ HiatusRAT ”的复杂活动，该活动感染了全球 100 多个边缘网络设备。威胁行为者利用边缘路由器或“生活在边缘”访问来被动收集流量并建立隐蔽的 C2 基础设施。

6月，该组织开始针对美国军事采购系统进行侦察和瞄准活动，并被发现以台湾组织为目标

根据国家情报总监办公室 2023 年威胁评估，最新行动中新目标的选择表明了 中国的战略利益。

威胁行为者在不同的采购虚拟专用服务器 (VPS) 上托管新编译的恶意软件。其中一台虚拟专用服务器专门用于攻击台湾各地的实体，包括商业公司和至少一个市政府组织。

另一个 VPS 节点被用来瞄准用于合同提案和提交的美国军事服务器。威胁行为者似乎有兴趣收集有关军事需求的情报，重点关注参与国防工业基地 (DIB) 的组织。

“从 6 月中旬到 2023 年 8 月，Black Lotus Labs 观察到了在野外发现的多个新编译版本的 HiatusRAT 恶意软件。在这次最新的活动中，我们的调查还发现了针对 Arm、Intel 80386 和 x86-64 等新架构以及 MIPS、MIPS64 和 i386 等先前目标架构的预构建 Hiatus 二进制文件。” 黑莲花实验室发布的报告中写道。

8 月份，研究人员观察到威胁行为者使用 IP 地址为 107.189.11[.]105 的新 VPS。然后，他们分析了与该服务器的连接以识别潜在目标，发现超过 91% 的入站连接来自台湾，并且似乎更倾向于 Ruckus 制造的边缘设备。该活动影响了该国的众多组织，包括半导体和化学品制造商以及至少一个市政府组织。  

“意识到该基础设施仍然处于活动状态，我们通过全球遥测技术进行搜索，以搜索似乎运行和管理第 1 层服务器的上游或第 2 层服务器。” 报告继续。“我们在中国发现了一个节点，IP 地址为 101.39.202[.]142，以及在美国的另外三个 VPS： 

• 45.63.70[.]57 
• 155.138.213[.]169 
• 66.135.22[.]245 ”

研究人员观察到威胁行为者在 6 月 13 日使用两个不同的 IP 地址 207.246.80[.]240 和 45.63.70[.]57 连接到 DoD 服务器。在两个小时内，专家观察到了 11 MB 的双向数据，其中已转移。

“通过损害边缘网络设备等外围资产来获取高价值目标 ，是业界针对中国参与者的几个垂直行业观察到的一种策略。我们怀疑 HiatusRAT 集群是另一个可以用来攻击美国国防工业基地而不受惩罚的间谍手段的例子。” 报告总结道。“我们建议国防承包商谨慎行事，并监控其网络设备是否存在 HiatusRAT。对手已表现出有兴趣针对较小的 DIB 公司和那些支持台湾进行情报收集的公司。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/7811.html