Последнее обновление 14.03.2023 — Иван Катанаев
Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию. Читать далее.
Новая кампания вредоносного ПО, известная как «Hiatus», нацелена на маршрутизаторы малого бизнеса для кражи данных и слежки за жертвами.
Новая кампания вредоносного ПО Hiatus атакует бизнес-маршрутизаторы
Новая кампания вредоносного ПО, получившая название Hiatus, нацелена на маршрутизаторы малого бизнеса с использованием вредоносного ПО HiatiusRAT.
6 марта 2023 года исследовательская фирма Lumen опубликовала в блоге сообщение, в котором обсуждалась эта вредоносная кампания. В сообщении в блоге Lumen было указано, что «Lumen Black Lotus Labs® выявила еще одну, невиданную ранее кампанию с участием скомпрометированных маршрутизаторов».
HiatusRAT — это тип вредоносного ПО, известного как троян удаленного доступа (RAT). Трояны удаленного доступа используются киберпреступниками для получения удаленного доступа и контроля над целевым устройством. Самая последняя версия вредоносного ПО HiatusRAT, похоже, используется с июля 2022 года.
В сообщении в блоге Lumen также было указано, что «HiatusRAT позволяет субъекту угрозы удаленно взаимодействовать с системой и использует предварительно встроенные функции — некоторые из которых весьма необычны — для преобразования скомпрометированной машины в скрытый прокси для субъекта угрозы. .»
Используя утилиту командной строки «tcpdump», HiatusRAT может перехватывать сетевой трафик, проходящий через целевой маршрутизатор, что позволяет украсть данные. Люмен также предположил, что злоумышленники, участвующие в этой атаке, стремятся создать скрытую прокси-сеть с помощью атаки.
HiatusRAT ориентируется на определенные типы маршрутизаторов
Вредоносное ПО HiatusRAT используется для атаки на вышедшие из эксплуатации маршрутизаторы DrayTek Vigor VPN, в частности модели 2690 и 3900 с архитектурой i386. Это маршрутизаторы с высокой пропускной способностью, которые используются предприятиями для предоставления удаленным работникам поддержки VPN.
Эти модели маршрутизаторов обычно используются владельцами малого и среднего бизнеса, которые подвергаются особому риску стать мишенью этой кампании. На момент написания этой статьи исследователи не знали, как эти маршрутизаторы DrayTek Vigor были заражены.
В середине февраля было обнаружено, что более 4000 компьютеров уязвимы для этой вредоносной кампании, а это означает, что многие предприятия все еще находятся под угрозой атаки.
Злоумышленники нацелены только на несколько маршрутизаторов DrayTek
Из всех маршрутизаторов DrayTek 2690 и 3900, подключенных сегодня к Интернету, Lumen сообщила, что уровень заражения составляет всего 2 процента.
Это указывает на то, что злоумышленники пытаются свести свой цифровой след к минимуму, чтобы ограничить воздействие и избежать обнаружения. Lumen также предположил в вышеупомянутом сообщении в блоге, что эта тактика также используется злоумышленниками для «поддержания критических точек присутствия».
HiatusRAT представляет постоянный риск
На момент написания HiatusRAT представляет опасность для многих малых предприятий, так как тысячи маршрутизаторов все еще подвержены воздействию этой вредоносной программы. Время покажет, сколько маршрутизаторов DrayTek были успешно атакованы этой вредоносной кампанией.
