Cititorii ca tine ajută la sprijinirea MUO. Când efectuați o achiziție folosind link-uri de pe site-ul nostru, este posibil să câștigăm un comision de afiliat. Citeşte mai mult.

O nouă campanie de malware, cunoscută sub numele de „Hiatus”, vizează routerele de afaceri mici pentru a fura date și a spiona victimele.

Noua campanie de malware „Hiatus” atacă routerele de afaceri

O nouă campanie de malware, denumită „Hiatus” vizează routerele de afaceri mici care utilizează malware HiatiusRAT.

Pe 6 martie 2023, firma de cercetare Lumen a publicat o postare pe blog în care discuta această campanie rău intenționată. În Postare pe blog Lumen, s-a afirmat că „Lumen Black Lotus Labs® a identificat o altă campanie, nemaivăzută până acum, care implică routere compromise”.

HiatusRAT este un tip de malware cunoscut sub numele de a Troian de acces la distanță (RAT). Troienii de acces la distanță sunt folosiți de infractorii cibernetici pentru a obține acces și control de la distanță asupra unui dispozitiv vizat. Cea mai recentă versiune a malware-ului HiatusRAT pare să fi fost utilizată din iulie 2022.

instagram viewer

În postarea de pe blog Lumen, s-a mai spus că „HiatusRAT permite actorului amenințării să interacționeze de la distanță cu sistemul și utilizează funcționalități predefinite – dintre care unele sunt extrem de neobișnuite – pentru a converti mașina compromisă într-un proxy ascuns pentru actor de amenințare”.

Folosind utilitarul de linie de comandă „tcpdump”., HiatusRAT poate prinde traficul de rețea care trece peste routerul vizat, permițând furtul de date. Lumen a mai speculat că operatorii rău intenționați implicați în acest atac urmăresc să creeze o rețea proxy ascunsă prin intermediul atacului.

HiatusRAT vizează anumite tipuri de routere

Malware-ul HiatusRAT este folosit pentru a ataca routerele DrayTek Vigor VPN aflate la sfârșitul vieții, în special modelele 2690 și 3900 care rulează o arhitectură i386. Acestea sunt routere cu lățime de bandă mare utilizate de companii pentru a oferi lucrătorilor de la distanță suport VPN.

Aceste modele de router sunt utilizate în mod obișnuit de proprietarii de afaceri mici și mijlocii, care sunt expuși unui risc deosebit de a fi vizați în această campanie. Cercetătorii nu știu cum au fost infiltrate aceste routere DrayTek Vigor la momentul scrierii.

Peste 4.000 de mașini s-au dovedit a fi vulnerabile la această campanie de malware la mijlocul lunii februarie, ceea ce înseamnă că multe companii sunt încă expuse riscului de atac.

Atacatorii vizează doar câteva routere DrayTek

Dintre toate routerele DrayTek 2690 și 3900 conectate la internet astăzi, Lumen a raportat o rată de infecție de doar 2%.

Acest lucru indică faptul că operatorii rău intenționați încearcă să-și mențină amprenta digitală la minimum pentru a limita expunerea și a evita detectarea. Lumen a sugerat, de asemenea, în postarea de blog menționată mai sus, că această tactică este folosită și de atacatori pentru a „menține punctele critice de prezență”.

HiatusRAT prezintă un risc continuu

La momentul redactării acestui articol, HiatusRAT reprezintă un risc pentru multe întreprinderi mici, mii de routere fiind încă expuse acestui malware. Timpul va spune câte routere DrayTek sunt vizate cu succes în această campanie rău intenționată.