Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską. Czytaj więcej.

Nowa kampania złośliwego oprogramowania, znana jako „Hiatus”, jest skierowana do routerów małych firm w celu kradzieży danych i szpiegowania ofiar.

Nowa kampania złośliwego oprogramowania „Przerwa” atakuje routery biznesowe

Nowa kampania złośliwego oprogramowania, nazwana „Hiatus”, jest skierowana na routery małych firm za pomocą złośliwego oprogramowania HiatiusRAT.

6 marca 2023 r. firma badawcza Lumen opublikowała post na blogu omawiający tę złośliwą kampanię. w Wpis na blogu Lumena, stwierdzono, że „Lumen Black Lotus Labs® zidentyfikował kolejną, nigdy wcześniej nie widzianą kampanię z udziałem zaatakowanych routerów”.

HiatusRAT to rodzaj złośliwego oprogramowania znany jako Trojan zdalnego dostępu (RAT). Trojany zdalnego dostępu są wykorzystywane przez cyberprzestępców do uzyskiwania zdalnego dostępu i kontroli nad docelowym urządzeniem. Wydaje się, że najnowsza wersja złośliwego oprogramowania HiatusRAT jest używana od lipca 2022 r.

instagram viewer

We wpisie na blogu Lumen stwierdzono również, że „HiatusRAT umożliwia cyberprzestępcom zdalną interakcję z systemem i wykorzystuje wbudowane funkcje – z których część jest bardzo nietypowa – do przekształcenia zaatakowanej maszyny w tajne proxy dla podmiot zagrażający”.

Korzystanie z narzędzia wiersza poleceń „tcpdump”., HiatusRAT może przechwycić ruch sieciowy przechodzący przez docelowy router, umożliwiając kradzież danych. Lumen spekulował również, że złośliwi operatorzy zaangażowani w ten atak mają na celu utworzenie ukrytej sieci proxy za pośrednictwem ataku.

HiatusRAT atakuje określone typy routerów

Szkodliwe oprogramowanie HiatusRAT jest wykorzystywane do atakowania wycofanych z eksploatacji routerów DrayTek Vigor VPN, w szczególności modeli 2690 i 3900 z architekturą i386. Są to routery o dużej przepustowości używane przez firmy do zapewniania pracownikom zdalnym wsparcia VPN.

Te modele routerów są powszechnie używane przez właścicieli małych i średnich firm, którzy są szczególnie narażeni na bycie celem tej kampanii. Badacze nie wiedzą, w jaki sposób te routery DrayTek Vigor zostały zinfiltrowane w momencie pisania tego artykułu.

W połowie lutego ponad 4000 komputerów było podatnych na tę kampanię szkodliwego oprogramowania, co oznacza, że ​​wiele firm nadal jest narażonych na ataki.

Atakujący atakują tylko kilka routerów DrayTek

Spośród wszystkich routerów DrayTek 2690 i 3900 podłączonych dzisiaj do Internetu, Lumen odnotował wskaźnik infekcji na poziomie zaledwie 2 procent.

Oznacza to, że złośliwi operatorzy starają się ograniczyć do minimum swój ślad cyfrowy, aby ograniczyć narażenie i uniknąć wykrycia. Lumen zasugerował również we wspomnianym poście na blogu, że ta taktyka jest również wykorzystywana przez atakujących w celu „utrzymania krytycznych punktów obecności”.

HiatusRAT stwarza ciągłe ryzyko

W chwili pisania tego tekstu HiatusRAT stanowi zagrożenie dla wielu małych firm, a tysiące routerów wciąż jest narażonych na to złośliwe oprogramowanie. Czas pokaże, ile routerów DrayTek jest z powodzeniem celem tej złośliwej kampanii.