HiatoRAT

Los expertos en ciberseguridad han descubierto una campaña de ataque previamente desconocida que involucra enrutadores comprometidos. La campaña, conocida como 'Pausa', es compleja y está dirigida a enrutadores de nivel empresarial. Despliega dos binarios comprometidos, incluido un troyano de acceso remoto (RAT) llamado 'HiatusRAT' y una variante de tcpdump que puede llevar a cabo la captura de paquetes en el dispositivo de destino. Los detalles sobre la campaña amenazante y el malware involucrado se publicaron en un informe de un investigador de seguridad.

Una vez que los sistemas objetivo están infectados, HiatusRAT permite que el actor de amenazas interactúe de forma remota con los dispositivos. Utiliza una funcionalidad preconstruida que es muy inusual para convertir las máquinas comprometidas en un proxy encubierto para el actor de amenazas. El binario de captura de paquetes permite a los actores de amenazas monitorear el tráfico del enrutador en los puertos asociados con las comunicaciones de transferencia de archivos y correo electrónico, lo que les brinda la capacidad de robar información confidencial.

Los atacantes apuntan a los enrutadores comerciales al final de su vida útil

La campaña conocida como Hiatus apunta al final de su vida útil de los modelos DrayTek Vigor 2960 y 3900, que operan en una arquitectura i386. Sin embargo, los investigadores de infosec también han observado binarios preconstruidos que también se dirigen a arquitecturas basadas en MIPS, i386 y ARM. Estos enrutadores suelen ser utilizados por empresas medianas y pueden admitir conexiones VPN para cientos de trabajadores remotos.

Se sospecha que los actores de amenazas detrás de la campaña infectan objetivos de interés para recopilar datos y, al mismo tiempo, buscan oportunidades para establecer una red de proxy encubierta. La campaña consta de tres componentes principales: un script bash implementado después de la explotación, dos ejecutables recuperados por el script bash: HiatusRAT y una variante de tcpdump que permite la captura de paquetes.

Tras el análisis, se encontró que HiatusRAT tiene dos propósitos principales. En primer lugar, le permite al actor interactuar de forma remota con el dispositivo afectado, lo que le permite descargar archivos o ejecutar comandos arbitrarios. En segundo lugar, puede funcionar como un dispositivo proxy SOCKS5 en el enrutador. Es probable que esto se use para facilitar el tráfico de comando y control (C2, C&C) de proxy a través del enrutador para ocultarlo de un agente adicional en otro lugar.

Las capacidades amenazantes encontradas en HiatusRAT

El ataque comienza con la implementación de un script bash que descarga y ejecuta el malware RAT, lo que le permite recopilar el sistema, la red, el sistema de archivos y procesar datos del enrutador comprometido.

HiatusRAT también establece comunicación con un servidor de comando y control cada 8 horas y, si tiene éxito, brinda a los atacantes acceso remoto para supervisar el dispositivo infectado. El análisis de ingeniería inversa reveló varias características extremadamente peligrosas del malware, incluida la generación de shells remotos en dispositivos infectados, la lectura/eliminación/exfiltración de archivos al servidor C2, la obtención y ejecución de archivos desde el servidor C2, la ejecución de scripts desde el servidor C2 y la transmisión de datos TCP. se establece en ubicaciones de reenvío a través de servidores proxy SOCKS v5 configurados en enrutadores violados. Si los atacantes deciden hacerlo, pueden indicar a la amenaza que se elimine.

Además, los atacantes usan proxies SOCKS v5 para mover datos de otros dispositivos violados a través del enrutador infectado. Esto ayuda a ocultar los datos de la red e imitar acciones legítimas. Las organizaciones deben ser conscientes de esta amenaza y tomar medidas para proteger sus redes contra este tipo de ataques.