Hiatus-Kampagne infiziert DrayTek-Router für Cyberspionage und Proxy-Kontrolle

Eine Cyber-Spionage-Kampagne mit neuartiger Malware wurde aufgedeckt, die auf DrayTek-Router in mittelständischen Unternehmen weltweit abzielt.

Im Gegensatz zu den meisten Spyware-Bemühungen hat diese Kampagne, die von Lumen Black Lotus Labs als „Hiatus“ bezeichnet wird, zwei Ziele: Daten bei gezielten Angriffen zu stehlen und Router zu kooptieren, um Teil einer verdeckten Command-and-Control-Infrastruktur (C2) zu werden Aufbau von schwer nachvollziehbaren Proxy-Kampagnen.

Laut einer Analyse dieser Woche nutzen die Angreifer bekannte Schwachstellen, um die DrayTek Vigor-Modelle 2960 und 3900 mit einer i368-Architektur anzugreifen Hiatus von Black Lotus. Sobald die Angreifer eine Kompromittierung erreicht haben, können sie zwei einzigartige, bösartige Binärdateien auf den Routern platzieren.

Das erste ist ein Spionageprogramm namens tcpdump, das den Router-Verkehr an Ports überwacht, die mit der E-Mail- und Dateiübertragungskommunikation im angrenzenden LAN des Opfers verbunden sind. Es hat die Fähigkeit, diesen Klartext-E-Mail-Inhalt passiv zu sammeln, während er den Router durchläuft.

„Etablierte, mittelständische Unternehmen betreiben ihre eigenen Mailserver und haben manchmal dedizierte Internetleitungen“, heißt es in dem Bericht. „Diese Netzwerke nutzen DrayTek-Router als Gateway zu ihrem Unternehmensnetzwerk, das den Datenverkehr von E-Mail-Servern im LAN zum öffentlichen Internet weiterleitet.“

Die zweite Binärdatei ist a Fernzugriffstrojaner (RAT) namens HiatusRAT, die es Cyberangreifern ermöglicht, aus der Ferne mit den Routern zu interagieren, Dateien herunterzuladen oder beliebige Befehle auszuführen. Es hat auch eine Reihe von vorgefertigten Funktionen, darunter zwei Proxy-Funktionen die die Bedrohungsakteure verwenden können, um andere Malware-Infektionscluster über den Computer eines infizierten Hiatus-Opfers zu kontrollieren.

Proxy-Funktionen von HiatusRAT

Die beiden Proxy-Befehle sind laut dem Black-Lotus-Bericht „speziell entwickelt worden, um verschleierte Kommunikationen von anderen Computern (wie denen, die mit einer anderen RAT infiziert sind) durch die Hiatus-Opfer zu ermöglichen“.

Sie sind:

Socken5: Richtet einen SOCKS-Proxy der Version 5 auf dem kompromittierten Router ein.
tcp_forward: Für die Proxy-Steuerung nimmt dies einen bestimmten Abhörport, eine Weiterleitungs-IP und einen Weiterleitungsport und überträgt alle TCP-Daten, die an den Abhörport auf dem kompromittierten Host gesendet wurden, an den Weiterleitungsort. Es richtet zwei Threads ein, um eine bidirektionale Kommunikation zwischen dem Absender und der angegebenen Weiterleitungs-IP zu ermöglichen.

Die Fähigkeit, den Router in ein SOCKS5-Proxy-Gerät umzuwandeln, „ermöglicht es dem Angreifer, mit böswilligen, passiven Hintertüren wie Web-Shells über infizierte Router als Mittelpunkt zu interagieren“, erklärt Danny Adamitis, leitender Bedrohungsforscher bei Lumen Black Lotus. „Die Verwendung eines kompromittierten Routers als Kommunikation für Backdoors und Web-Shells ermöglicht es den Bedrohungsakteuren, Geo-Fencing-basierte Abwehrmaßnahmen zu umgehen und zu vermeiden, von netzwerkbasierten Erkennungstools gekennzeichnet zu werden.“

Die TCP-Funktion hingegen wurde wahrscheinlich entwickelt, um Beacons weiterzuleiten oder mit anderen RATs auf anderen infizierten Computern zu interagieren, was „dem Router erlauben würde, eine C2-IP-Adresse für Malware auf einem separaten Gerät zu sein“, so der Bericht.

All dies bedeutet, dass Organisationen ihren Wert als Ziel nicht unterschätzen sollten, heißt es in dem Bericht: „Jeder mit einem Router, der das Internet nutzt, kann möglicherweise ein Ziel für Hiatus sein – er kann als Stellvertreter für eine andere Kampagne verwendet werden – selbst wenn Das Unternehmen, dem der Router gehört, sieht sich selbst nicht als Geheimdienstziel.“

Verschiedene Arten von Hiatus-Opfern

Die Kampagne ist ungewöhnlich klein und hat nur etwa 100 Opfer infiziert, hauptsächlich in Europa und Lateinamerika.

„Dies sind ungefähr 2 % der Gesamtzahl der DrayTek 2960- und 3900-Router, die derzeit dem Internet ausgesetzt sind“, so Adamitis. „Dies deutet darauf hin, dass der Bedrohungsakteur absichtlich einen minimalen Fußabdruck beibehält, um seine Exposition zu begrenzen und kritische Präsenzpunkte aufrechtzuerhalten.“

In Sachen Spionage seien einige der Opfer „Targets of Enablement“, sagt der Forscher, darunter auch IT-Dienstleistungs- und Beratungsunternehmen.

„Wir glauben, dass die Bedrohungsakteure diese Organisationen ins Visier nehmen, um Zugang zu sensiblen Informationen über die Umgebung ihrer Kunden zu erhalten“, sagt Adamitis, indem sie die gekratzte E-Mail-Kommunikation verwenden, um nachgelagerte Angriffe zu starten.

Er fügt hinzu, dass eine zweite Gruppe von Opfern als Ziele von direktem Interesse für Datendiebstahl angesehen werden kann, „zu denen kommunale Regierungsbehörden und einige im Energiesektor tätige Organisationen gehörten“.

Während die Zahl der primären Opfer gering ist, deutet das Ausmaß des Datendiebstahls auf eine fortgeschrittene anhaltende Bedrohung als Schuldige hinter Hiatus hin.

„Basierend auf der Datenmenge, die bei diesen Zugriffen gesammelt würde, lässt uns dies glauben, dass der Akteur über gute Ressourcen verfügt und in der Lage ist, große Datenmengen zu verarbeiten, was auf einen staatlich unterstützten Akteur hindeutet“, bemerkt Adamitis.

Was Sie aus dem Hiatus lernen können

Die wichtigste Erkenntnis für Unternehmen ist die herkömmliche Idee der Perimetersicherheit muss angepasst werden, um Router einzubeziehen.

„Die Vorteile der Verwendung von Routern für die Datenerfassung bestehen darin, dass sie nicht überwacht werden und der gesamte Datenverkehr über sie läuft“, erklärt Adamitis. „Dies steht im Gegensatz zu Windows-Rechnern und Mailservern, die normalerweise über Endpoint Detection and Response (EDR) und Firewall-Schutz verfügen, die in Unternehmensnetzwerken eingesetzt werden. Dieser Mangel an Überwachung ermöglicht es dem Angreifer, dieselben Informationen zu sammeln, die er ohne direkte Interaktion mit Assets erhalten würde, auf denen EDR-Produkte möglicherweise vorinstalliert sind.“

Um sich selbst zu schützen, müssen Unternehmen sicherstellen, dass Router „wie jedes andere Perimetergerät routinemäßig überprüft, überwacht und gepatcht werden“, sagt er.

Organisationen sollten Maßnahmen ergreifen: Die Hiatus-Binärdateien wurden erstmals im vergangenen Juli gesehen, wobei die Neuinfektionen bis mindestens Mitte Februar andauerten. Die Angriffe verwenden Version 1.5 der Malware, was darauf hindeutet, dass vor Juli Aktivitäten mit Version 1.0 stattgefunden haben könnten. Black Lotus sagte, dass es voll und ganz davon ausgeht, dass die Aktivität fortgesetzt wird.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
Quelle: https://www.darkreading.com/threat-intelligence/hiatusrat-campaign-draytek-gear-cyber-espionage-proxy-control

Generative Datenintelligenz

Hiatus-Kampagne infiziert DrayTek-Router für Cyberspionage und Proxy-Kontrolle

Proxy-Funktionen von HiatusRAT

Verschiedene Arten von Hiatus-Opfern

Was Sie aus dem Hiatus lernen können

Entdecken Sie die 7 besten Avalanche-Wallets für Staking und DeFi

Wie große Trends in der Informatik die Wissenschaft prägen – Teil Zwei » CCC-Blog

Neueste Intelligenz

Geschichte: Die DEA stimmt der Aufnahme von Marihuana in Anhang III zu

Am Sonntagabend endete eine Verkehrskontrolle in Berwick wegen Geschwindigkeitsüberschreitung mit einer Marihuana-Festnahme – Medical Marijuana Program Connection

Das Wachstum von Echtzeitzahlungen in Schwellenländern

Fehlende Gammastrahlen lassen Zweifel an der Herkunft der kosmischen Strahlung aufkommen – Physics World

RIV Capital meldet Finanzergebnisse für das Geschäftsquartal und die neun Monate

Grown Rogue meldet geprüfte Finanzergebnisse