Οι χάκερ πίσω από το κακόβουλο λογισμικό HiatusRAT επέστρεψαν από την περίοδο αδράνειας τους με ένα νέο κύμα επιθέσεων που στοχεύει σε οργανισμούς με έδρα την Ταϊβάν και στο σύστημα εφοδιασμού των Αμερικανικών στρατιωτικών.
Δείτε επίσης: Google Chrome: Θα προειδοποιεί για την κατάργηση επεκτάσεων που είναι malware
Εκτός από την αναμεταγλώττιση δειγμάτων κακόβουλου λογισμικού για διάφορες αρχιτεκτονικές, τα αποτελέσματα φαίνεται να έχουν φιλοξενηθεί σε νέους εικονικούς ιδιωτικούς διακομιστές (VPSs), όπως αναφέρει η έκθεση της Lumen Black Lotus Labs που δημοσιεύθηκε την προηγούμενη εβδομάδα.
Η εταιρεία κυβερνοασφάλειας περιέγραψε το συγκεκριμένο σύμπλεγμα δραστηριοτήτων ως “αναιδές” και “ένα από τα πιο τολμηρά”, υποδηλώνοντας ότι δεν υπάρχουν ενδείξεις για επιβράδυνση. Η ταυτότητα και η προέλευση των χάκερ είναι προς το παρόν άγνωστη.
Οι στόχοι περιελάμβαναν εμπορικές εταιρείες, όπως κατασκευαστές ημιαγωγών και χημικών, και τουλάχιστον έναν δημοτικό κυβερνητικό οργανισμό στην Ταϊβάν, καθώς και έναν διακομιστή του Υπουργείου Άμυνας των ΗΠΑ (DoD) που σχετίζεται με την υποβολή και την ανάκτηση προτάσεων για αμυντικές συμβάσεις.
Δείτε επίσης: Cuba ransomware: Χρήση Veeam exploit για επιθέσεις σε κρίσιμες υποδομές
Το HiatusRAT αποκαλύφθηκε για πρώτη φορά από την εταιρεία κυβερνοασφάλειας τον Μάρτιο του 2023 ότι στόχευε δρομολογητές επιχειρηματικού επιπέδου για να κατασκοπεύει κρυφά θύματα που βρίσκονται κυρίως στη Λατινική Αμερική και την Ευρώπη ως μέρος μιας εκστρατείας που ξεκίνησε τον Ιούλιο του 2022.
Έως και 100 συσκευές δικτύωσης στην άκρη (edge networking devices) μολύνθηκαν παγκοσμίως για να συλλέγουν παθητικά δεδομένα κίνησης και να τα μετατρέπουν σε ένα δίκτυο προκαθορισμένων εντολών και ελέγχου (command-and-control infrastructure).
Το πιο πρόσφατο σύνολο επιθέσεων, που παρατηρήθηκε από τα μέσα Ιουνίου έως τον Αύγουστο του 2023, συνεπάγεται τη χρήση προ-ενσωματωμένων δυαδικών αρχείων HiatusRAT που έχουν σχεδιαστεί ειδικά για αρχιτεκτονικές Arm, Intel 80386 και x86-64, παράλληλα με τα MIPS, MIPS64 και i386.
Μια τηλεμετρική ανάλυση για τις συνδέσεις που έγιναν στον διακομιστή που φιλοξενεί το malware έδειξε ότι “πάνω από το 91% των εισερχομένων συνδέσεων προήλθαν από την Ταϊβάν, και φάνηκε να υπάρχει προτίμηση για συσκευές edge Ruckus.”
Η υποδομή του HiatusRAT αποτελείται από διακομιστές φορτίου και reconnaissance, οι οποίοι επικοινωνούν απευθείας με τα δίκτυα των θυμάτων. Αυτοί οι διακομιστές ελέγχονται από τους διακομιστές Tier 1, οι οποίοι, με τη σειρά τους, λειτουργούν και διαχειρίζονται από τους διακομιστές Tier 2.
Δείτε επίσης: Νέα παραλλαγή του BlackCat ransomware χρησιμοποιεί τα εργαλεία Impacket και RemCom
Οι εισβολείς έχουν αναγνωριστεί ότι χρησιμοποιούν δύο διαφορετικές διευθύνσεις IP 207.246.80[.]240 και 45.63.70[.]57 για να συνδεθούν με τον διακομιστή DoD στις 13 Ιουνίου για μια περίοδο περίπου δύο ωρών. 11 MB αμφίδρομων δεδομένων εκτιμάται ότι έχουν μεταφερθεί κατά τη διάρκεια της περιόδου.
Δεν είναι σαφές ποιος είναι ο τελικός στόχος, αλλά υποψιαζόμαστε ότι ο adversary μπορεί να αναζητούσε διαθέσιμες δημόσιες πληροφορίες που σχετίζονται με τρέχοντα και μελλοντικά στρατιωτικά συμβόλαια για μελλοντική επίθεση.
Η εστίαση σε εξωτερικούς πόρους όπως routers έχει γίνει κάτι σαν πρότυπο τους τελευταίους μήνες, με απειλητικούς παράγοντες που συνδέονται με την Κίνα να συνδέονται με την εκμετάλλευση αδυναμιών ασφαλείας σε μη ενημερωμένες συσκευές Fortinet και SonicWall για να εδραιώσουν μακροπρόθεσμη επιμονή μέσα στον στόχο.
Πηγή πληροφοριών: thehackernews.com
