Featured image of post Neue Hiatus Malware-Kampagne Ziele Router
Networking Security

Neue Hiatus Malware-Kampagne Ziele Router

Eine neue Malware, die HiatusRAT infiziert Router, um seine Ziele zu spionieren, vor allem in Europa und in den USA Erfahren Sie, welche Router-Modelle in erster Linie zielgerichtet sind und wie Sie vor dieser Sicherheitsbedrohung schützen.

A padlock on a router.

Bild: xiaoliangge/Adobe Stock Wie zuvor exponiert , Router könnten von Bedrohung Schauspieler als effiziente Standorte, um Malware zu pflanzen, oft für Internetauftritt . Router sind häufig weniger geschützt als Standardgeräte und verwenden häufig modifizierte Versionen bestehender Betriebssysteme. Zielrouter können daher für Angreifer interessant sein, aber schwieriger zu kompromittieren und zu verwenden als ein üblicher Endpunkt oder Server.

Lumen’s Black Lotus Labs hat exponiert neue Malware Ziel Router in einer Kampagne namens Hiatus von den Forschern.

Zu:

  • Was ist die Hiatus Malware Kampagne?
  • Kampagnenziel
  • 4 Schritte zum Schutz vor der Hiatus Malware Bedrohung Was ist die Hiatus Malware Kampagne?

Die Hiatus-Kampagne zielt in erster Linie auf DrayTek Vigor Router Modelle 2960 und 3900, die eine i386 Architektur betreiben. Diese Router werden meist von mittelständischen Unternehmen verwendet, da die Router-Fähigkeiten einige hundert der VPN-Verbindungen von Mitarbeitern unterstützen.

Die Forscher fanden auch andere böswillige Binäre auf MIPS und ARM-basierte Architekturen.

Der erste Kompromissvektor bleibt unbekannt, aber sobald die Angreifer Zugriff auf die gezielten Router erhalten, fallen sie ein Bash-Skript. Wenn dieses Bash-Skript ausgeführt wird, lädt es zwei zusätzliche Dateien herunter: die HiatusRAT-Malware und eine Variante des legitimen Tcpdump-Tools, das die Netzwerkpaketerfassung ermöglicht.

Sobald diese Dateien ausgeführt werden, sind die Angreifer in der Steuerung des Routers und können Dateien herunterladen oder beliebige Befehle ausführen, den Netzwerkverkehr vom infizierten Gerät abfangen oder den Router als SOCKS5 Proxy-Gerät, das für weitere Kompromisse oder für andere Unternehmen verwendet werden kann.

HiatusRAT Malware

Sicherheitsüberprüfung

  • Top Cybersicherheit Bedrohungen für 2023

  • Beste IT Asset Management Software

  • Treffen Sie das umfassendste tragbare Cybersicherheitsgerät

  • Wie Sie Ihre E-Mail über Verschlüsselung, Passwortmanagement und mehr sichern (TechRepublic Premium)

    Wenn die RAT gestartet wird, prüft sie, ob Port 8816 verwendet wird. Wenn der Port von einem Prozess verwendet wird, tötet es und öffnet einen neuen Zuhörer auf dem Port, um sicherzustellen, dass nur eine einzige Instanz der Malware auf dem Gerät läuft.

Es sammelt dann Informationen über das kompromittierte Gerät wie Systeminformationen (wie Kernel-Version, MAC-Adresse, Architekturtyp und Firmware-Version), Netzwerkinformationen (Netzwerkschnittstellenkonfiguration und lokale IP-Adressen) und Dateisysteminformationen (Mountpunkte, Verzeichnisauflistung, Dateisystemtyp und virtuelles Speicherdateisystem). Darüber hinaus sammelt es eine Liste aller laufenden Prozesse.

Nach dem Sammeln all dieser Informationen sendet die Malware sie an einen angreifergesteuerten Herzschlag C2-Server.

Die Malware verfügt über mehr Funktionen, wie die Aktualisierung ihrer Konfigurationsdatei, die Bereitstellung des Angreifers mit einer Remote-Shell, das Lesen/Deleting/Uploaden von Dateien, das Herunterladen und Ausführen von Dateien oder die Freigabe von SOCKS5-Paketen Weiterleitung oder einfache TCP-Pakete.

Netzwerkpaketerfassung

Neben dem HiatusRAT setzt der Drohungsaktor auch eine Variante des legitimen Tcpdump-Tools ein, das die Erfassung von Netzwerkpaketen auf dem kompromittierten Gerät ermöglicht.

Das vom Drohungsaktor verwendete Basenskript zeigte ein besonderes Interesse an Verbindungen auf den Ports 21, 25, 110 und 143, die in der Regel dem Dateiübertragungsprotokoll und E-Mail-Transfers (SMTP, POP3 und IMAP-E-Mail-Protokolle) gewidmet sind.

Das Skript ermöglicht, falls erforderlich, mehr Port-Schniffing. Wenn verwendet, werden die erfassten Pakete an einen Upload C2 gesendet, der sich von dem Herzschlag C2 unterscheidet, nachdem die Paketaufnahme eine bestimmte Länge erreicht.

Dies ermöglicht es dem Drohungsaktor, über das FTP-Protokoll oder E-Mails, die das infizierte Gerät durchqueren, übertragene Dateien passiv abzufangen.

Kampagnenziel

Black Lotus Labs identifizierte ungefähr 100 einzigartige IP-Adressen, die mit den C2-Servern kommunizieren, die seit Juli 2022 vom Drohungsakteur kontrolliert werden, was in zwei Kategorien klassifiziert werden könnte:

  • Mittelgroße Unternehmen, die eigene E-Mail-Server betreiben, besitzen manchmal IP-Adressenbereiche im Internet, die sie identifizieren können. Unternehmen in Pharma-, IT-Dienstleistungen oder Beratungsfirmen und einer kommunalen Regierung konnten unter anderem identifiziert werden. Die Forscher vermuten, dass das Ziel von IT-Firmen eine Wahl ist, um den nachfolgenden Zugang zu Kundenumgebungen zu ermöglichen.

  • Kunden-IP-Bereiche von Internet-Dienstleistern, die von Zielen verwendet werden. Die geografische Neuverteilung der Ziele zeigt neben Nordamerika ein starkes Interesse an US-Unternehmen und einigen anderen europäischen Ländern ( Abbildung A )

    Abbildung A

Heat map for Hiatus malware campaign infections.

Bild: Lumen’s Black Lotus Labs. Wärmekarte für Hiatus Malware Kampagne Infektionen. Wie von den Forschern berichtet, sind etwa 2.700 DrayTek Vigor 2960 Router und 1.400 DrayTek Vigor 3900 Router mit dem Internet verbunden. Die Infektion von nur etwa 100 dieser Router macht die Kampagne klein und schwierig zu erkennen; die Tatsache, dass nur 100 Router von Tausenden betroffen sind, unterstreicht die Möglichkeit, dass der Drohungsaktor nur auf bestimmte Ziele strebt und nicht an größerem Ziel interessiert.

4 Schritte zum Schutz vor der Hiatus Malware Bedrohung

  1. Starten Sie die Router regelmäßig neu und halten Sie ihre Firmware und Software gepatelt, um Kompromisse von gemeinsamen Schwachstellen zu verhindern.

  2. Bereitstellung von Sicherheitslösungen mit Fähigkeiten, um das Verhalten der Router zu protokollieren und zu überwachen.

  3. End-of-Life-Geräte sollten entfernt und durch unterstützte Modelle ersetzt werden, die für maximale Sicherheit aktualisiert werden können.

  4. Alle Verkehrswege über Router sollten verschlüsselt werden, so dass es auch nicht ausnutzbar macht.

Weiter lesen: Intrusionserkennungspolitik (TechRepublic Premium)

Angaben: Ich arbeite für Trend Micro, aber die Ansichten in diesem Artikel sind meine.

image

 ###  Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihrer Organisation, indem Sie die neuesten Cyber-Sicherheitsnachrichten, Lösungen und Best Practices beibehalten.

Geliefert Dienstags und Donnerstags Heute anmelden — title: “Neue Hiatus Malware-Kampagne Ziele Router” date: “2023-07-20T04:03:01” draft: false description: “Eine neue Malware, die HiatusRAT infiziert Router, um seine Ziele zu spionieren, vor allem in Europa und in den USA Erfahren Sie, welche Router-Modelle in erster Linie zielgerichtet sind und wie Sie vor dieser Sicherheitsbedrohung schützen. " autor: “toto” image: “https://cdn.99tz.top/08f6066323/2023/04/6539bd2ace204637be8fac0a627c0892.webp" cover: “https://cdn.99tz.top/08f6066323/2023/04/6539bd2ace204637be8fac0a627c0892.webp" tags: [‘cybersecurity’, ‘routers’] categories: [‘Networking’, ‘Security’] theme: light

A padlock on a router.

Bild: xiaoliangge/Adobe Stock Wie zuvor exponiert , Router könnten von Bedrohung Schauspieler als effiziente Standorte, um Malware zu pflanzen, oft für Internetauftritt . Router sind häufig weniger geschützt als Standardgeräte und verwenden häufig modifizierte Versionen bestehender Betriebssysteme. Zielrouter können daher für Angreifer interessant sein, aber schwieriger zu kompromittieren und zu verwenden als ein üblicher Endpunkt oder Server.

Lumen’s Black Lotus Labs hat exponiert neue Malware Ziel Router in einer Kampagne namens Hiatus von den Forschern.

Zu:

  • Was ist die Hiatus Malware Kampagne?
  • Kampagnenziel
  • 4 Schritte zum Schutz vor der Hiatus Malware Bedrohung Was ist die Hiatus Malware Kampagne?

Die Hiatus-Kampagne zielt in erster Linie auf DrayTek Vigor Router Modelle 2960 und 3900, die eine i386 Architektur betreiben. Diese Router werden meist von mittelständischen Unternehmen verwendet, da die Router-Fähigkeiten einige hundert der VPN-Verbindungen von Mitarbeitern unterstützen.

Die Forscher fanden auch andere böswillige Binäre auf MIPS und ARM-basierte Architekturen.

Der erste Kompromissvektor bleibt unbekannt, aber sobald die Angreifer Zugriff auf die gezielten Router erhalten, fallen sie ein Bash-Skript. Wenn dieses Bash-Skript ausgeführt wird, lädt es zwei zusätzliche Dateien herunter: die HiatusRAT-Malware und eine Variante des legitimen Tcpdump-Tools, das die Netzwerkpaketerfassung ermöglicht.

Sobald diese Dateien ausgeführt werden, sind die Angreifer in der Steuerung des Routers und können Dateien herunterladen oder beliebige Befehle ausführen, den Netzwerkverkehr vom infizierten Gerät abfangen oder den Router als SOCKS5 Proxy-Gerät, das für weitere Kompromisse oder für andere Unternehmen verwendet werden kann.

HiatusRAT Malware

Sicherheitsüberprüfung

  • Top Cybersicherheit Bedrohungen für 2023

  • Beste IT Asset Management Software

  • Treffen Sie das umfassendste tragbare Cybersicherheitsgerät

  • Wie Sie Ihre E-Mail über Verschlüsselung, Passwortmanagement und mehr sichern (TechRepublic Premium)

    Wenn die RAT gestartet wird, prüft sie, ob Port 8816 verwendet wird. Wenn der Port von einem Prozess verwendet wird, tötet es und öffnet einen neuen Zuhörer auf dem Port, um sicherzustellen, dass nur eine einzige Instanz der Malware auf dem Gerät läuft.

Es sammelt dann Informationen über das kompromittierte Gerät wie Systeminformationen (wie Kernel-Version, MAC-Adresse, Architekturtyp und Firmware-Version), Netzwerkinformationen (Netzwerkschnittstellenkonfiguration und lokale IP-Adressen) und Dateisysteminformationen (Mountpunkte, Verzeichnisauflistung, Dateisystemtyp und virtuelles Speicherdateisystem). Darüber hinaus sammelt es eine Liste aller laufenden Prozesse.

Nach dem Sammeln all dieser Informationen sendet die Malware sie an einen angreifergesteuerten Herzschlag C2-Server.

Die Malware verfügt über mehr Funktionen, wie die Aktualisierung ihrer Konfigurationsdatei, die Bereitstellung des Angreifers mit einer Remote-Shell, das Lesen/Deleting/Uploaden von Dateien, das Herunterladen und Ausführen von Dateien oder die Freigabe von SOCKS5-Paketen Weiterleitung oder einfache TCP-Pakete.

Netzwerkpaketerfassung

Neben dem HiatusRAT setzt der Drohungsaktor auch eine Variante des legitimen Tcpdump-Tools ein, das die Erfassung von Netzwerkpaketen auf dem kompromittierten Gerät ermöglicht.

Das vom Drohungsaktor verwendete Basenskript zeigte ein besonderes Interesse an Verbindungen auf den Ports 21, 25, 110 und 143, die in der Regel dem Dateiübertragungsprotokoll und E-Mail-Transfers (SMTP, POP3 und IMAP-E-Mail-Protokolle) gewidmet sind.

Das Skript ermöglicht, falls erforderlich, mehr Port-Schniffing. Wenn verwendet, werden die erfassten Pakete an einen Upload C2 gesendet, der sich von dem Herzschlag C2 unterscheidet, nachdem die Paketaufnahme eine bestimmte Länge erreicht.

Dies ermöglicht es dem Drohungsaktor, über das FTP-Protokoll oder E-Mails, die das infizierte Gerät durchqueren, übertragene Dateien passiv abzufangen.

Kampagnenziel

Black Lotus Labs identifizierte ungefähr 100 einzigartige IP-Adressen, die mit den C2-Servern kommunizieren, die seit Juli 2022 vom Drohungsakteur kontrolliert werden, was in zwei Kategorien klassifiziert werden könnte:

  • Mittelgroße Unternehmen, die eigene E-Mail-Server betreiben, besitzen manchmal IP-Adressenbereiche im Internet, die sie identifizieren können. Unternehmen in Pharma-, IT-Dienstleistungen oder Beratungsfirmen und einer kommunalen Regierung konnten unter anderem identifiziert werden. Die Forscher vermuten, dass das Ziel von IT-Firmen eine Wahl ist, um den nachfolgenden Zugang zu Kundenumgebungen zu ermöglichen.

  • Kunden-IP-Bereiche von Internet-Dienstleistern, die von Zielen verwendet werden. Die geografische Neuverteilung der Ziele zeigt neben Nordamerika ein starkes Interesse an US-Unternehmen und einigen anderen europäischen Ländern ( Abbildung A )

    Abbildung A

Heat map for Hiatus malware campaign infections.

Bild: Lumen’s Black Lotus Labs. Wärmekarte für Hiatus Malware Kampagne Infektionen. Wie von den Forschern berichtet, sind etwa 2.700 DrayTek Vigor 2960 Router und 1.400 DrayTek Vigor 3900 Router mit dem Internet verbunden. Die Infektion von nur etwa 100 dieser Router macht die Kampagne klein und schwierig zu erkennen; die Tatsache, dass nur 100 Router von Tausenden betroffen sind, unterstreicht die Möglichkeit, dass der Drohungsaktor nur auf bestimmte Ziele strebt und nicht an größerem Ziel interessiert.

4 Schritte zum Schutz vor der Hiatus Malware Bedrohung

  1. Starten Sie die Router regelmäßig neu und halten Sie ihre Firmware und Software gepatelt, um Kompromisse von gemeinsamen Schwachstellen zu verhindern.

  2. Bereitstellung von Sicherheitslösungen mit Fähigkeiten, um das Verhalten der Router zu protokollieren und zu überwachen.

  3. End-of-Life-Geräte sollten entfernt und durch unterstützte Modelle ersetzt werden, die für maximale Sicherheit aktualisiert werden können.

  4. Alle Verkehrswege über Router sollten verschlüsselt werden, so dass es auch nicht ausnutzbar macht.

Weiter lesen: Intrusionserkennungspolitik (TechRepublic Premium)

Angaben: Ich arbeite für Trend Micro, aber die Ansichten in diesem Artikel sind meine.

image

 ###  Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihrer Organisation, indem Sie die neuesten Cyber-Sicherheitsnachrichten, Lösungen und Best Practices beibehalten.

Geliefert Dienstags und Donnerstags Heute anmelden

© 2024 BilbyTech