En ny skadlig kodkampanj, känd som "Hiatus", riktar sig mot småföretagsroutrar för att stjäla data och spionera på offer.
Ny "Hiatus"-kampanj för skadlig programvara attackerar affärsroutrar
En ny skadlig kampanj, kallad "Hiatus" är inriktad på småföretagsroutrar som använder HiatiusRAT skadlig kod.
Den 6 mars 2023 publicerade analysföretaget Lumen ett blogginlägg som diskuterade denna skadliga kampanj. I den Lumen blogginlägg, uppgavs det att "Lumen Black Lotus Labs® identifierade en annan, aldrig tidigare skådad kampanj som involverade komprometterade routrar."
HiatusRAT är en typ av skadlig programvara som kallas a Fjärråtkomsttrojan (RAT). Fjärråtkomsttrojaner används av cyberkriminella för att få fjärråtkomst och kontroll över en riktad enhet. Den senaste versionen av HiatusRAT skadlig programvara verkar ha varit i bruk sedan juli 2022.
I Lumen blogginlägget stod det också att "HiatusRAT tillåter hotaktören att fjärrinteragera med systemet, och det använder förbyggd funktionalitet – varav en del är mycket ovanlig – för att konvertera den komprometterade maskinen till en hemlig proxy för hotaktör."
Använda kommandoradsverktyget "tcpdump"., HiatusRAT kan fånga nätverkstrafiken som passerar över den riktade routern, vilket tillåter stöld av data. Lumen spekulerade också i att de illvilliga operatörerna som var inblandade i denna attack syftar till att skapa ett hemligt proxynätverk via attacken.
HiatusRAT riktar sig mot specifika typer av routrar
Skadlig programvara HiatusRAT används för att attackera DrayTek Vigor VPN-routrar i slutet av sin livslängd, särskilt 2690- och 3900-modellerna som kör en i386-arkitektur. Dessa är routrar med hög bandbredd som används av företag för att ge fjärrarbetare VPN-stöd.
Dessa routermodeller används ofta av små till medelstora företagsägare, som löper särskild risk att bli målinriktade i denna kampanj. Forskare vet inte hur dessa DrayTek Vigor-routrar infiltrerades i skrivande stund.
Över 4 000 maskiner visade sig vara sårbara för denna skadliga kampanj i mitten av februari, vilket innebär att många företag fortfarande riskerar att bli attackerade.
Angripare riktar sig bara mot ett fåtal DrayTek-routrar
Av alla DrayTek 2690 och 3900 routrar som är anslutna till internet idag rapporterade Lumen en infektionsfrekvens på bara 2 procent.
Detta indikerar att de illvilliga operatörerna försöker hålla sitt digitala fotavtryck på ett minimum för att begränsa exponeringen och undvika upptäckt. Lumen föreslog också i det tidigare nämnda blogginlägget att denna taktik också används av angripare för att "upprätthålla kritiska punkter av närvaro."
HiatusRAT utgör en pågående risk
I skrivande stund utgör HiatusRAT en risk för många småföretag, med tusentals routrar som fortfarande är utsatta för denna skadliga programvara. Tiden kommer att utvisa hur många DrayTek-routrar som framgångsrikt är inriktade på den här skadliga kampanjen.
