• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Новый вредонос HiatusRAT нацелен на маршрутизаторы бизнес-класса для тайного шпионажа за своими жертвами

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Невиданное ранее сложное вредоносное ПО нацелено на маршрутизаторы бизнес-класса DrayTek для тайного шпионажа за жертвами в Европе, а также Латинской и Северной Америке. Вредонос «в ходу» как минимум с июля 2022 года.

Вредоносная кампания, которой исследователи из Black Lotus Labs (подразделение компании Lumen) дали название Hiatus, развёртывает два вредоносных двоичных файла: троян удаленного доступа (RAT), получивший название HiatusRAT, и вариацию tcpdump, позволяющую перехватывать пакеты на целевом устройстве.

«После того как целевая система заражена, HiatusRAT позволяет злоумышленнику удаленно взаимодействовать с системой и использует встроенную функциональность для преобразования скомпрометированной машины в скрытый прокси для злоумышленника», — говорится в отчёте компании Lumen.
«Двоичный файл захвата пакетов позволяет хакерам отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов».
Вредоносная кампания направлена в первую очередь на модели маршрутизаторов DrayTek Vigor с истекшим сроком поддержки (EoL) 2960 и 3900. По состоянию на середину февраля этого года было скомпрометировано около 100 устройств, подключенных к Интернету. Некоторые из затронутых отраслевых вертикалей включают фармацевтику, IT-услуги, муниципальные органы власти и т.п.

Интересно, что это лишь небольшая часть из более чем 4 тысяч маршрутизаторов DrayTek 2960 и 3900, которые находятся в открытом интернет-доступе. Учитывая, что затронутые устройства представляют собой маршрутизаторы с высокой пропускной способностью, которые могут одновременно поддерживать сотни VPN-соединений, есть подозрение, что целью является шпионаж за целями и создание скрытой прокси-сети.

HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах, а также связываться с удаленным C2-сервером для получения файлов или выполнения произвольных команд.

«Обнаружение Hiatus подтверждает, что злоумышленники продолжают заниматься эксплуатацией маршрутизаторов. Эти кампании демонстрируют необходимость защиты экосистемы маршрутизаторов. Поэтому маршрутизаторы нужно регулярно контролировать, перезагружать и обновлять, а устройства с истекшим сроком службы следует заменять», — завил один из специалистов Lumen Black Lotus Labs.
 
Сверху