Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti. Přečtěte si více.

Nová malwarová kampaň známá jako „Hiatus“ se zaměřuje na routery pro malé firmy, aby ukradla data a špehovala oběti.

Nová malwarová kampaň „Hiatus“ útočí na obchodní směrovače

Nová malwarová kampaň nazvaná „Hiatus“ se zaměřuje na routery pro malé firmy využívající malware HiatiusRAT.

Dne 6. března 2023 zveřejnila výzkumná firma Lumen blogový příspěvek pojednávající o této škodlivé kampani. V Příspěvek na blogu Lumenbylo uvedeno, že "Lumen Black Lotus Labs® identifikovala další, nikdy předtím neviděnou kampaň zahrnující kompromitované routery."

HiatusRAT je typ malwaru známý jako a Trojan pro vzdálený přístup (RAT). Vzdálené trojské koně používají kyberzločinci k získání vzdáleného přístupu a kontroly nad cíleným zařízením. Zdá se, že nejnovější verze malwaru HiatusRAT se používá od července 2022.

V příspěvku na blogu Lumen bylo také uvedeno, že „HiatusRAT umožňuje aktérovi hrozby vzdáleně interagovat se systémem a využívá předpřipravenou funkcionalitu – z nichž některé jsou velmi neobvyklé – k přeměně kompromitovaného stroje na skrytý proxy pro aktér hrozby."

instagram viewer

Pomocí nástroje příkazového řádku "tcpdump".HiatusRAT dokáže zachytit síťový provoz procházející přes cílový router, což umožňuje krádež dat. Lumen také spekuloval, že zákeřní operátoři zapojení do tohoto útoku mají za cíl vytvořit skrytou proxy síť prostřednictvím útoku.

HiatusRAT se zaměřuje na konkrétní druhy směrovačů

Malware HiatusRAT se používá k útoku na routery DrayTek Vigor VPN na konci životnosti, konkrétně na modely 2690 a 3900 s architekturou i386. Jedná se o širokopásmové směrovače používané podniky k poskytování podpory VPN vzdáleným pracovníkům.

Tyto modely routerů běžně používají majitelé malých a středních podniků, kteří jsou vystaveni zvláštnímu riziku, že se na ně tato kampaň zaměří. Výzkumníci nevědí, jak byly tyto routery DrayTek Vigor infiltrovány v době psaní tohoto článku.

V polovině února bylo zjištěno, že více než 4 000 strojů je zranitelných vůči této malwarové kampani, což znamená, že mnoho podniků je stále ohroženo útokem.

Útočníci se zaměřují pouze na několik routerů DrayTek

Ze všech routerů DrayTek 2690 a 3900, které jsou dnes připojeny k internetu, Lumen hlásil míru infekce pouze 2 procenta.

To naznačuje, že operátoři se zlými úmysly se snaží udržet svou digitální stopu na minimu, aby omezili expozici a vyhnuli se detekci. Lumen také ve výše zmíněném příspěvku na blogu naznačil, že tuto taktiku využívají útočníci také k „udržování kritických bodů přítomnosti“.

HiatusRAT představuje trvalé riziko

V době psaní tohoto článku představuje HiatusRAT riziko pro mnoho malých podniků, přičemž tisíce směrovačů jsou stále vystaveny tomuto malwaru. Čas ukáže, kolik routerů DrayTek je úspěšně zaměřeno v této škodlivé kampani.