Hala destek sonrası DrayTek Vigor yönlendiricileri kullanıyorsanız, kurnaz bir kötü amaçlı yazılım varyantı sette mağaza kuruyor olduğundan, onları hurdaya çıkarmanın veya başka bir geçici çözüm bulmanın zamanı gelmiş olabilir.
Lumen’in Black Lotus Labs araştırmacılarına göre, Hiatus kötü amaçlı yazılım kampanyasının arkasındaki operatörler, MIPS, i386 ve Arm tabanlı işlemciler tarafından desteklenen DrayTek Vigor yönlendirici modelleri 2960 ve 3900’ü ele geçirerek Kuzey ve Latin Amerika’nın yanı sıra Avrupa’daki işletmelere saldırıyor. tehdit istihbarat birimi
İki DrayTek yönlendirici modeli, destek açısından Aralık 2021’de kullanım ömrünün sonuna ulaştı. Taramalara göre, bunlar hala geniş çapta kullanılıyor ve 4.000’den fazla savunmasız kutu internete açık durumda. Black Lotus araştırmacıları Danny Adamitis ve Steve Rudd, Hiatus dolandırıcılarının şimdiye kadar en az 100 tanesine bulaştığını yazdı. rapor.
Ne yazık ki, yüksek bant genişliğine sahip cihazların güvenliğinin nasıl ihlal edildiği tam olarak bilinmiyor. Ancak donanım ömrünün sonuna geldiği için yamalar zaten gelmeyebilir. Kötü amaçlı yazılım içeri girdikten sonra bir bash betiği bırakır ve iki kötü amaçlı yürütülebilir dosyayı dağıtır: araştırmacıların HiatusRAT olarak adlandırdığı bir uzaktan erişim truva atı ve tcpdump ağ paket çözümleyicisinin bir çeşidi.
HiatusRAT iki rol oynar. Önce yönlendiricinin 8816 bağlantı noktasında çalışan rakip işlemleri kontrol eder ve yönlendiricideki tek RAT olduğundan emin olmak için bulunan her şeyi öldürür. Ardından, MAC adresi ve mimarisi, ağ iletişimi ve dosya bilgileri ve çalışan işlemlerin bir listesi gibi sistem düzeyindeki veriler dahil olmak üzere virüslü yönlendirici hakkında bilgi toplar ve bunu bir komut ve kontrol (C2) sunucusuna gönderir.
RAT ayrıca yönlendiriciyi bir vekil cihaz gibi davranacak şekilde alt üst edebilir, “aktörün başka bir yerde ek bir aracıdan gelen komut ve kontrolü gizlemek için yönlendirici aracılığıyla komut ve kontrol trafiğini proxy olarak kullanmasına olanak tanır” diye yazdılar. Bu, ağ genelinde başka saldırılarda kullanılabilir.
tcpdump ikili dosyası, e-posta ve dosya aktarım iletişimleri için kullanılan bağlantı noktalarındaki yönlendirici trafiğini izlemek ve paketleri yakalamak için kullanılır ve bilgileri C2’ye gönderir.
Adamitis ve Rudd, mevcut Hiatus kampanyasının görünüşe göre Temmuz 2022’de başladığını, ancak muhtemelen kötü amaçlı yazılımın daha önce kullanıldığına dair örnekler olduğunu söyledi. Twitter’da iplikAdamitis, raporda özetlenen kötü amaçlı yazılımın 1.5 sürümü olarak tanımlandığını yazdı, bu nedenle “bu son kampanya Temmuz 2022’ye kadar uzanıyor. Bu etkinlik kümesi neredeyse kesinlikle o tarihten önceydi.”
Araştırmacılar, “Etkilenen modeller, yüzlerce uzak çalışan için VPN bağlantılarını destekleyebilen ve ortalama, orta ölçekli işletmeler için ideal kapasite sunan yüksek bant genişliğine sahip yönlendiricilerdir.” “Aktörün veri toplamak için ilgili hedeflere ve gizli bir proxy ağı kurmak amacıyla fırsat hedeflerine bulaştığından şüpheleniyoruz.”
Black Lotus’a göre ana hedefler, kendi posta sunucularını çalıştıran, ilaç şirketlerine ait kitler, BT hizmetleri ve danışmanlık firmaları ve aktif saldırı altındaki bir belediye hükümeti olan orta ölçekli işletmelerdir.
Araştırmacılar, “BT firmalarının, paket yakalama ikili sistemi tarafından toplanan e-posta trafiği gibi toplanan verilerden etkinleştirilebilecek müşteri ortamlarına aşağı akış erişimini sağlamak için seçildiğinden şüpheleniyoruz” diye yazdı.
Yönlendiricileri hedefleyen kötü amaçlı yazılım kampanyaları yeni değildir, ancak çok kazançlı olabilirler. Cisco küçük işletme yönlendiricilerindeki payının saldırganlar ve aşağıdakiler gibi tehdit grupları tarafından kötüye kullanıldığını gördü: düzenbaz ve ulus devletler gibi Çin ve Rusya, cihazları BT ortamlarına giden yollar olarak kullandı.
Geçen yıl Black Lotus, adı verilen ilgisiz yeni bir kötü amaçlı yazılımın ana hatlarını çıkardı. ZuoRat 2021’de küçük ofis ve ev ofisi (SOHO) yönlendiricilerine bitişik LAN’larda konuşlandırmak için saldıran ve bir bilgisayar korsanlığı kampanyası. rapor Microsoft Tehdit İstihbarat Ekibi tarafından Çin merkezli siber suçluların casusluk operasyonları yürütmek için SOHO yönlendiricilerini de hedef aldığı hakkında.
Bununla birlikte, ZuoRAT’tan farklı olarak Hiatus, yüksek profilli bir ana bilgisayarla etkileşime girmeden pasif olarak bilgi toplayarak daha düşük bir profil tutmaya çalışıyor, bu da siber güvenlik araçlarının imzasını almasına neden olabilir.
Adamitis ve Rudd, “Bu kampanya, yönlendirici ekosisteminin güvenliğini sağlama ihtiyacını gösteriyor” diye yazdı. “Bu tür bir ajan, yönlendiriciye sahip olan ve interneti kullanan herkesin potansiyel olarak bir hedef olabileceğini ve yönlendiricinin sahibi olan varlık kendilerini bir istihbarat hedefi olarak görmese bile başka bir kampanya için vekil olarak kullanılabileceğini gösteriyor.” ®