Een nieuwe malwarecampagne, bekend als "Hiatus", richt zich op routers van kleine bedrijven om gegevens te stelen en slachtoffers te bespioneren.
Nieuwe "Hiatus" malwarecampagne valt zakelijke routers aan
Een nieuwe malwarecampagne, genaamd "Hiatus", richt zich op routers van kleine bedrijven die HiatiusRAT-malware gebruiken.
Op 6 maart 2023 publiceerde onderzoeksbureau Lumen een blogpost waarin deze kwaadaardige campagne werd besproken. In de Lumen-blogpost, werd gesteld dat "Lumen Black Lotus Labs® een andere, nooit eerder vertoonde campagne identificeerde waarbij gecompromitteerde routers betrokken waren."
HiatusRAT is een type malware dat bekend staat als een Trojan voor externe toegang (RAT). Trojaanse paarden voor externe toegang worden door cybercriminelen gebruikt om op afstand toegang te krijgen tot en controle te krijgen over een gericht apparaat. De meest recente versie van de HiatusRAT-malware lijkt sinds juli 2022 in gebruik te zijn.
In de Lumen-blogpost werd ook vermeld dat "HiatusRAT de bedreigingsactor in staat stelt op afstand met het systeem te communiceren, en het maakt gebruik van vooraf gebouwde functionaliteit - waarvan sommige zeer ongebruikelijk zijn - om de gecompromitteerde machine om te zetten in een geheime proxy voor de dreigingsacteur."
Het opdrachtregelhulpprogramma "tcpdump" gebruiken, kan HiatusRAT het netwerkverkeer opvangen dat over de beoogde router gaat, waardoor gegevens kunnen worden gestolen. Lumen speculeerde ook dat de kwaadwillende operators die bij deze aanval betrokken zijn, via de aanval een geheim proxy-netwerk willen opzetten.
HiatusRAT richt zich op specifieke soorten routers
De HiatusRAT-malware wordt gebruikt om end-of-life DrayTek Vigor VPN-routers aan te vallen, met name de 2690- en 3900-modellen met een i386-architectuur. Dit zijn routers met hoge bandbreedte die door bedrijven worden gebruikt om externe werknemers VPN-ondersteuning te bieden.
Deze routermodellen worden vaak gebruikt door eigenaren van kleine tot middelgrote bedrijven, die een bijzonder risico lopen om het doelwit van deze campagne te worden. Onderzoekers weten op het moment van schrijven niet hoe deze DrayTek Vigor-routers zijn geïnfiltreerd.
Medio februari bleken meer dan 4.000 machines kwetsbaar te zijn voor deze malwarecampagne, wat betekent dat veel bedrijven nog steeds het risico lopen te worden aangevallen.
Aanvallers richten zich slechts op een paar DrayTek-routers
Van alle DrayTek 2690- en 3900-routers die vandaag met internet zijn verbonden, rapporteerde Lumen een infectiepercentage van slechts 2 procent.
Dit geeft aan dat de kwaadwillende operators proberen hun digitale voetafdruk tot een minimum te beperken om de blootstelling te beperken en detectie te omzeilen. Lumen suggereerde in de eerder genoemde blogpost ook dat deze tactiek ook door aanvallers wordt gebruikt om "kritieke aanwezigheidspunten te behouden".
HiatusRAT vormt een doorlopend risico
Op het moment van schrijven vormt HiatusRAT een risico voor veel kleine bedrijven, aangezien duizenden routers nog steeds worden blootgesteld aan deze malware. De tijd zal leren hoeveel DrayTek-routers met succes het doelwit zijn van deze kwaadaardige campagne.