.
Se você ainda estiver usando roteadores DrayTek Vigor pós-suporte, talvez seja hora de descartá-los, ver se eles podem ser corrigidos ou encontrar alguma outra solução alternativa, pois uma variante de malware está se instalando no kit.
Os operadores por trás da campanha de malware Hiatus estão sequestrando modelos de roteador DrayTek Vigor 2960 e 3900 equipados com MIPS, i386 e processadores baseados em Arm para, por sua vez, atacar empresas na América do Norte e na América Latina, bem como na Europa, de acordo com pesquisadores do Lumen’s Black Lotus Labs unidade de inteligência de ameaças.
Os dois modelos DrayTek atingiram o fim da vida útil, em termos de suporte, em dezembro de 2021. Eles ainda são amplamente utilizados, com mais de 4.000 caixas vulneráveis expostas à Internet, segundo varreduras. Os bandidos do Hiatus infectaram pelo menos 100 deles até agora, os pesquisadores do Black Lotus Danny Adamitis e Steve Rudd escreveram em um relatório.
Crucialmente, não se sabe exatamente como os dispositivos de alta largura de banda foram comprometidos. Dado que o hardware está no fim da vida útil, patches para qualquer falha de segurança que possa estar envolvida podem não estar disponíveis.
Dito isso, observamos que os modelos Vigor 2960 e 3900 afetados receberam uma oferta correção em 2021 para fechar uma vulnerabilidade de injeção de código remoto que poderia ser explorada para sequestrar um dispositivo conforme descrito acima. E no ano passado, DrayTek remendado um buraco semelhante em suas séries 3910 e 2962. Portanto, pode ou não haver uma correção para qualquer falha que os canalhas estejam explorando ativamente agora; pedimos esclarecimentos à DrayTek.
No entanto, ele entra em um roteador, uma vez dentro, o malware lança um script bash e implanta dois executáveis maliciosos: um trojan de acesso remoto que os pesquisadores estão chamando de HiatusRAT e uma variante do analisador de pacotes de rede tcpdump.
O HiatusRAT desempenha duas funções. Ele primeiro verifica os processos concorrentes em execução na porta 8816 do roteador e mata qualquer coisa encontrada para garantir que seja o único RAT no roteador. Em seguida, ele coleta informações sobre o roteador infectado – incluindo dados no nível do sistema, como endereço MAC e arquitetura, rede e informações de arquivos e uma lista de processos em execução – e os envia para um servidor de comando e controle (C2).
O RAT também pode subverter o roteador para atuar como um dispositivo proxy, “provavelmente para permitir que o ator faça proxy do tráfego de comando e controle por meio do roteador para ofuscar o comando e o controle de um agente adicional em outro lugar”, escreveram eles. Isso pode ser usado em outros ataques na rede.
O binário tcpdump é usado para monitorar o tráfego do roteador nas portas usadas para comunicações de e-mail e transferência de arquivos e pacotes de captura e envia as informações para o C2.
Adamitis e Rudd disseram que a atual campanha de hiato aparentemente começou em julho de 2022, mas que provavelmente houve instâncias anteriores do malware sendo usado. Em um Twitter fioAdamitis escreveu que o malware descrito no relatório é identificado como a versão 1.5, portanto, “enquanto esta última campanha remonta a julho de 2022. Este cluster de atividade quase certamente precedeu essa data”.
“Os modelos afetados são roteadores de alta largura de banda que podem oferecer suporte a conexões VPN para centenas de trabalhadores remotos e oferecem capacidade ideal para empresas médias e de médio porte”, escreveram os pesquisadores. “Suspeitamos que o ator infecta alvos de interesse para coleta de dados e alvos de oportunidade com o objetivo de estabelecer uma rede proxy secreta”.
De acordo com a Black Lotus, os principais alvos são empresas de médio porte que administram seus próprios servidores de e-mail, com kits pertencentes a empresas farmacêuticas, empresas de consultoria e serviços de TI e um governo municipal sob ataque ativo.
“Suspeitamos que as empresas de TI foram escolhidas para permitir o acesso downstream aos ambientes do cliente, que podem ser ativados a partir de dados coletados, como o tráfego de e-mail reunido pelo binário de captura de pacotes”, escreveram os pesquisadores.
Campanhas de malware direcionadas a roteadores não são novas, mas podem ser muito lucrativas. Cisco viu sua parcela de roteadores de pequenas empresas ser abusada por invasores e grupos de ameaças como Trickbot e Estados-nação como China e a Rússia usaram os dispositivos como caminhos para ambientes de TI.
No ano passado, o Black Lotus descreveu um novo malware não relacionado chamado ZuoRATName que atacou roteadores de pequenos escritórios e escritórios domésticos (SOHO) para implantar em LANs adjacentes e uma campanha hacktivista em 2021. Os pesquisadores também apontaram para um relatório pela Equipe de Inteligência de Ameaças da Microsoft sobre cibercriminosos baseados na China também visando roteadores SOHO para executar operações de espionagem.
No entanto, ao contrário do ZuoRAT, o Hiatus está tentando manter um perfil mais baixo coletando informações passivamente sem interagir com um host de alto perfil, o que pode acionar ferramentas de segurança cibernética para obter sua assinatura.
“Esta campanha mostra a necessidade de proteger o ecossistema do roteador”, escreveram Adamitis e Rudd. “Esse tipo de agente demonstra que qualquer pessoa com um roteador que usa a internet pode potencialmente ser um alvo – e pode ser usado como proxy para outra campanha – mesmo que a entidade proprietária do roteador não se veja como um alvo de inteligência”. ®
.
