'Hiatus' adlı devam eden bir hack kampanyası, kurbanlardan veri çalmak ve gizli bir proxy ağı oluşturmak için Draytek Vigor Router model 2960 ve 3900'ü hedefler.
Draytek Vigor Cihazları, küçük ve orta boy kuruluşlar tarafından kurumsal ağlara uzaktan bağlantı için kullanılan işletme sınıfı VPN yönlendiricileridir.
Temmuz 2022'de başlayan ve halen devam eden yeni hack kampanyası, üç bileşene dayanıyor: kötü amaçlı bir Bash komut dosyası, "Hiatusrat" adlı bir kötü amaçlı yazılım ve yönlendirici üzerinden akan ağ trafiğini yakalamak için kullanıldı.
Hiatusrat bileşeni, kampanyaya adını veren en ilginç yönüdür. Araç, ek yükleri indirmek, ihlal edilen cihazda komutları çalıştırmak ve cihazın komutu geçmek ve sunucu trafiğini geçmek için bir SOCKS5 proxy'sine dönüştürmek için kullanılır.
Kampanya, Hiatusrat tarafından enfekte olmuş en az yüz işletmeyi, öncelikle Avrupa, Kuzey Amerika ve Güney Amerika'da gördüğünü bildiren Lumen'in Black Lotus Labs tarafından keşfedildi.
Şu anda, araştırmacılar Draytek yönlendiricilerinin başlangıçta nasıl tehlikeye atıldığını belirleyemiyorlar. Bununla birlikte, tehdit aktörleri cihazlara eriştikten sonra, yönlendiriciye üç bileşeni indiren bir bash betiği (hiatusrat ve meşru TCPDump yardımcı programı dağıtırlar.
Komut dosyası ilk olarak hiatusrat'ı '/database/.updata' olarak indirir ve yürütür, kötü amaçlı yazılımın 8816 numaralı bağlantı noktasında dinlemeye başlamasına neden olur ve eğer o bağlantı noktasında çalışan bir işlem varsa, önce öldürür.
Ardından, ihlal edilen cihazdan aşağıdaki bilgileri toplar:
Hiatusrat ayrıca, tehdit oyuncusunun tehlikeye atılan yönlendiricinin durumunu izlemesine yardımcı olmak için C2'ye her 8 saatte bir kalp atışı direği gönderir.
Black Lotus Labs'ın ters mühendis analizi aşağıdaki kötü amaçlı yazılım özelliklerini ortaya çıkardı:
Çorap vekilinin amacı, diğer enfekte edilmiş makinelerden verileri ihlal edilen yönlendirici aracılığıyla iletmek, ağ trafiğini gizlemek ve meşru davranışı taklit etmektir.
BASH komut dosyası ayrıca posta sunucuları ve FTP bağlantıları ile ilişkili TCP bağlantı noktalarına ağ trafiğini dinleyen bir paket yakalama aracı yükleyecektir.
İzlenen bağlantı noktaları FTP için Port 21, SMTP için 25 bağlantı noktası, Port 110 POP3 tarafından kullanılır ve bağlantı noktası 143 IMAP protokolü ile ilişkilidir. Bu bağlantı noktaları üzerindeki iletişim şifrelenmediğinden, tehdit aktörleri e -posta içeriği, kimlik bilgileri ve yüklenen ve indirilen dosya içeriği de dahil olmak üzere hassas verileri çalabilir.
Bu nedenle, saldırgan, tehlikeye atılan yönlendirici aracılığıyla iletilen hassas bilgileri yakalamayı amaçlamaktadır.
Black Lotus raporunu, "Bu paket yakalama verileri belirli bir dosya uzunluğuna ulaştığında, ana yönlendirici hakkında bilgi ile birlikte 46.8.113 [.] 227'de bulunan" C2 yükleme "e gönderilir."
"Bu, tehdit oyuncunun yönlendiriciyi ve bazı dosya aktarım trafiğini geçen e -posta trafiğini pasif olarak yakalamasını sağlar."
Hiatus kampanyası küçüktür, ancak kurbanları ciddi şekilde etkileyebilir, şebekeye daha fazla erişim için potansiyel olarak e -posta ve FTP kimlik bilgilerini çalabilir. Lumen’in araştırmacıları, tehdit aktörünün tespitten kaçınmak için küçük bir saldırı hacmini kasten korumasının muhtemel olduğuna inanıyorlar.
Black Lotus’un taramaları, Şubat ortası itibariyle, yaklaşık 4.100 savunmasız Draytek yönlendiricisinin internette maruz kaldığını, bu nedenle sadece% 2,4'ünün taviz verdiğini gösterdi.
Çinli hackerlar, tespitten kaçınmak için yeni özel arka kapı kullanıyor
Hackerlar Backdoor Microsoft IIS Sunucuları Yeni Frebniis kötü amaçlı yazılım
Hackers Backdoor Windows Cihazları Şerit ve BYOVD saldırılarında
Bilgisayar korsanları, oyun şirketlerini ihlal etmek için yeni Icebreaker kötü amaçlı yazılım kullanıyor
Yeni Stealthy Python Sıçan Kötü Yazılım Saldırılarda Pencereleri Hedefliyor
Kaynak: Bleeping Computer