Featured image of post New Hiatus malware kampanya hedefleri yönlendiriciler
Networking Security

New Hiatus malware kampanya hedefleri yönlendiriciler

HiatusRAT’nin hedeflerini casus etmek için kullandığı yeni bir yazılım, çoğunlukla Avrupa'da ve ABD'de hangi yönlendirici modellerin öncelikli olarak hedeflendiğini ve bu güvenlik tehdidinden nasıl koruyacağını öğrenin.

A padlock on a router.

Resim: xiaoliangge/Adobe Stock Daha önce maruz kalanlar Ancak yönlendiriciler, kötü amaçlı aktörlerin yazılımları dikmek için verimli yerler olarak kullanılabilir, sık sık sık sık sık Cyberespionage . Yönlendiriciler genellikle standart cihazlardan daha az korunuyor ve genellikle mevcut işletim sistemlerinin değiştirilmiş versiyonlarını kullanıyor. Bu nedenle, hedefleme yönlendiricileri saldırganlar için ilginç olabilir, ancak her zamanki uç noktası veya sunucudan uzlaşmak ve kullanmak daha zor olabilir.

Lumen’in Siyah Lotus Laboratuarları maruz kaldı Yönlendiricileri hedef alan yeni yazılımlar Hiatus isimli bir kampanyada araştırmacılar tarafından.

Jump to:

  • Hiatus malware kampanyası nedir?
  • Kampanya hedefleme
  • Hiatus malware tehdidi tehdidinden korumak için 4 adım Hiatus malware kampanyası nedir?

Hiatus kampanyası öncelikle DrayTek Vigor yönlendirici modellerini 2960 ve 3900 hedef alıyor, bu bir i386 mimarisi çalıştırıyor. Bu yönlendiriciler çoğunlukla orta büyüklükte şirketler tarafından kullanılır, yönlendirici yetenekleri birkaç yüz çalışan VPN bağlantılarını destekler.

Araştırmacılar ayrıca MIPS ve ARM tabanlı mimarileri hedef alan diğer kötü amaçlı binerler buldular.

İlk uzlaşma vektörü bilinmeyen kalır, ancak saldırganlar hedefli yönlendiricilere erişir, bir bash senaryoyu bırakırlar. Bu bash senaryosu gerçekleştirildiğinde, iki ek dosyayı indirin: HiatusRAT malware ve ağ paketi yakalamasını sağlayan meşru tcpdump aracının bir çeşidi.

Bu dosyalar çalıştırıldığında, saldırganlar yönlendiricinin kontrolü altındadır ve dosyaları indirmek veya keyfi komutları çalıştırabilir, enfekte cihazdan ağ trafiğini durdurun veya yönlendiriciyi bir cihaz olarak kullanın. Hoffman5 Daha fazla uzlaşma için veya diğer şirketleri hedeflemek için kullanılan proxy cihazı.

HiatusRAT malware

Güvenlik kapsama alanı

  • 2023 için Top siber güvenlik tehditleri

  • En İyi IT varlık yönetimi yazılımı

  • En kapsamlı taşınabilir siber güvenlik cihazıyla tanışın

  • E-postanızı şifreleme, şifre yönetimi ve daha fazla (TechRepublic Premium) ile nasıl güvence altına alın

    RAT başladığında, port 8816 kullanılıyorsa kontrol eder. Liman bir süreç tarafından kullanılıyorsa, onu öldürür ve limanda yeni bir dinleyici açar, ancak yazılımların tek bir örneği cihazı çalıştırılır.

Daha sonra sistem bilgisi gibi uzlaşmalı cihaz hakkında bilgi toplar (örneğin çekirdek versiyonu, MAC adresi, mimarlık türü ve Yazılım versiyonu), ağ bilgisi (network arabirimleri yapılandırma ve yerel IP adresleri) ve dosya sistemi bilgileri (ön puanlar, liste, dosya sistemi tipi ve sanal bellek dosyası sistemi). Ayrıca, tüm çalışan süreçlerin listesini toplar.

Tüm bu bilgileri topladıktan sonra, yazılımlar onu saldırgan kontrollü kalp C2 sunucusuna gönderir.

Yazılımların yapılandırma dosyasını güncelleştirmesi, saldırganı uzaktan bir kabukla, okuma / silme / dosyaları kullanarak veya dosyaları indirmesi veya uygulamanız gibi daha fazla yetenekleri vardır.The malware has more skills, such as update its configuration file, provide the attacker with a remoteshell, reading/deleting/uploading files, download and execute files, or enable Seiko5 paket forwarding or flat TCP paketleri forwarding.

Ağ paketi yakalama yakalama

HiatusRAT’nin yanı sıra, tehdit aktörü aynı zamanda uzlaşmacı cihazda ağ paketleri yakalamayı sağlayan meşru tcpdump aracının bir kopyasını da dağıtıyor.

Tehdit aktörü tarafından kullanılan bash senaryosu, liman 21, 25, 110 ve 143 limandaki bağlantılar için özel bir ilgi gösterdi ve genellikle dosya transfer protokolüne ve e-posta transferlerine adanmıştır (SMTP, POP3 ve IMAP e-posta protokolleri).

Senaryo daha fazla port sniffing sağlar, gerekirse. Eğer kullanılırsa, yakalanan paketler C2 yüklemeye gönderilir, kalp atışından farklı, paket bölme belirli bir uzunluka ulaşır.

Bu, tehdit aktörünün, enfekte cihazı tersine çeviren FTP protokolü veya e-postalarla transfer edilen tam dosyaları pasif bir şekilde engellemesine izin verir.

Kampanya hedefleme

Black Lotus Labs, Temmuz 2022’den bu yana tehdit aktörü tarafından kontrol edilen C2 sunucularıyla iletişim kurduğu yaklaşık 100 eşsiz IP adresini belirledi:

  • Orta büyüklükteki şirketler kendi e-posta sunucularını çalıştırıyor, bazen onları tanımlayabilecek internet üzerinde IP adresi aralıkları geçiriyor. İlaç, BT hizmetleri veya danışmanlık şirketleri ve diğerleri arasında bir belediye hükümeti tespit edilebilir. Araştırmacılar, BT firmalarının hedeflenmesinin müşterilere erişim sağlamak için bir seçimdir.

  • İnternet servis sağlayıcılarının müşteri IP aralıkları hedefleri tarafından kullanılır. Hedeflerin coğrafi yeniden bölünmesi, Kuzey Amerika’ya ek olarak ABD şirketlerine ve diğer bazı Avrupa ülkelerine ağır bir ilgi gösteriyor ( Şekil A ).

    Şekil A

Heat map for Hiatus malware campaign infections.

Resim: Lumen’s Black Lotus Labs. Hiatus malware kampanyası enfeksiyonları için ısı haritası. Araştırmacılar tarafından bildirilen gibi, yaklaşık 2,700 DrayTek Vigor 2960 yönlendiriciler ve 1,400 DrayTek Vigor 3900 yönlendiriciler internete bağlıdır. Bu yönlendiricilerin sadece yaklaşık 100 enfeksiyonu, kampanyayı tespit etmek için küçük ve zor hale getirir; binlerceden sadece 100 yönlendiricinin etkilendiği gerçeği, tehdit aktörünün yalnızca belirli hedeflerde hedeflemesi ve daha büyük hedeflemeyle ilgilenmemesi olasılığı vurgulanmaktadır.

Hiatus malware tehdidi tehdidinden korumak için 4 adım

  1. Düzenli olarak yönlendiricileri yeniden başlatıp, ortak açıklardan uzlaşmayı önlemek için kendi bilgisayarlarını ve yazılımlarını bir araya getirin.

2.Deploy security solutions with properties to log and monitor the yönlendiricis’ behavior.

  1. End-of-life cihazlar kaldırılmalıdır ve maksimum güvenlik için güncel olabilecek desteklenen modeller ile değiştirilmesi gerekir.

  2. Tüm trafik yönlendiriciler aracılığıyla geçmek şifrelenmelidir, böylece onu rahatsız etmek bile mümkün değildir.

Bir daha okuyun: Saldırı algılama politikası (Teknoloji Premium)

Açıklama: Trend Micro için çalışıyorum, ancak bu makalede ifade edilen görüşler benim.

image

 ###  Cybersecurity Insider Newsletter

Organizasyonunuzun BT güvenlik savunmalarını en son siber güvenlik haber, çözümleri ve en iyi uygulamaları tutarak güçlendirin.

Salı ve Perşembe günleri teslim edildi Bugün kaydolun

© 2024 BilbyTech