En ny malware-kampanje, kjent som "Hiatus", er rettet mot småbedriftsrutere for å stjele data og spionere på ofre.
Ny "Hiatus" Malware-kampanje angriper forretningsrutere
En ny malware-kampanje, kalt "Hiatus" er rettet mot småbedriftsrutere som bruker HiatiusRAT-malware.
6. mars 2023 publiserte analysefirmaet Lumen et blogginnlegg som diskuterte denne ondsinnede kampanjen. I Lumen blogginnlegg, ble det uttalt at "Lumen Black Lotus Labs® identifiserte en annen, aldri før sett kampanje som involverte kompromitterte rutere."
HiatusRAT er en type skadelig programvare kjent som en Fjerntilgang Trojan (RAT). Fjerntilgangstrojanere brukes av nettkriminelle for å få ekstern tilgang og kontroll over en målrettet enhet. Den siste versjonen av HiatusRAT malware ser ut til å ha vært i bruk siden juli 2022.
I Lumen-blogginnlegget ble det også uttalt at "HiatusRAT lar trusselaktøren eksternt samhandle med systemet, og det bruker forhåndsbygd funksjonalitet – hvorav noen er svært uvanlig – for å konvertere den kompromitterte maskinen til en skjult proxy for trusselaktør."
Bruke kommandolinjeverktøyet "tcpdump"., kan HiatusRAT fange opp nettverkstrafikken som går over den målrettede ruteren, noe som tillater tyveri av data. Lumen spekulerte også i at de ondsinnede operatørene som er involvert i dette angrepet har som mål å sette opp et skjult proxy-nettverk via angrepet.
HiatusRAT retter seg mot bestemte typer rutere
HiatusRAT-malwaren brukes til å angripe utgåtte DrayTek Vigor VPN-rutere, spesielt 2690- og 3900-modellene som kjører en i386-arkitektur. Dette er rutere med høy båndbredde som brukes av bedrifter for å gi eksterne arbeidere VPN-støtte.
Disse rutermodellene brukes ofte av små til mellomstore bedriftseiere, som har særlig risiko for å bli målrettet i denne kampanjen. Forskere vet ikke hvordan disse DrayTek Vigor-ruterne ble infiltrert i skrivende stund.
Over 4000 maskiner ble funnet å være sårbare for denne skadevarekampanjen i midten av februar, noe som betyr at mange bedrifter fortsatt står i fare for angrep.
Angripere retter seg bare mot noen få DrayTek-rutere
Av alle DrayTek 2690- og 3900-ruterne koblet til internett i dag, rapporterte Lumen en infeksjonsrate på bare 2 prosent.
Dette indikerer at de ondsinnede operatørene prøver å holde sitt digitale fotavtrykk på et minimum for å begrense eksponering og unngå gjenkjenning. Lumen antydet også i det nevnte blogginnlegget at denne taktikken også blir brukt av angripere for å "opprettholde kritiske punkter for tilstedeværelse."
HiatusRAT utgjør en pågående risiko
I skrivende stund utgjør HiatusRAT en risiko for mange små bedrifter, med tusenvis av rutere som fortsatt er utsatt for denne skadelige programvaren. Tiden vil vise hvor mange DrayTek-rutere som er målrettet i denne ondsinnede kampanjen.
