Cybersicherheitsforscher von Black Lotus Labs haben kürzlich eine neue Kampagne entdeckt, die anfällige kommerzielle Router (öffnet sich in einem neuen Tab) nutzt, um sensible Daten zu stehlen und ein geheimes Proxy-Netzwerk aufzubauen.
Wie BleepingComputer berichtet (öffnet sich in einem neuen Tab), entdeckten Forscher, dass zwei Modelle der DrayTek Vigor-Router, 2960 und 3900, zur Verbreitung von Malware namens HiatusRAT verwendet werden.
Dieser Fernzugriffs-Trojaner wird verwendet, um weitere bösartige Payloads herunterzuladen, die verschiedene Befehle auf dem infizierten Endpunkt ausführen und das Gerät in einen SOCKS5-Proxy verwandeln, um Befehle zu übertragen und den Serververkehr zu steuern.
Datendiebstahl und Dateiausführung
Die meisten Opfer befinden sich dem Bericht zufolge in Europa, Nord- und Südamerika. Forscher wissen nicht, wo der erste Kontaktpunkt für infizierte Geräte liegt.
Sie haben die Malware jedoch rückentwickelt und festgestellt, dass sie Systemdaten (MAC-Adresse, Kernel-Version usw.), Netzwerkdaten (IP-Adressen), Dateisystemdaten und Prozessdaten (Prozessnamen, Kennungen), UID usw. stiehlt .). ). .). Darüber hinaus sendet der RAT alle acht Stunden einen Heartbeat-POST an den Server, den Angreifer zur Überwachung des infizierten Geräts nutzen.
Darüber hinaus kann es Dateien lesen, löschen und herunterladen, Programme herunterladen und ausführen, beliebige TCP-Datensätze an den Überwachungsport des Hosts weiterleiten und bei Bedarf anhalten.
Forscher sagen, dass all dies notwendig ist, damit Bedrohungsakteure sensible Daten, die über den Router laufen, ausnutzen können.
„Sobald diese Paketerfassungsdaten eine bestimmte Dateilänge erreichen, werden sie zusammen mit Informationen über den Host-Router an den „C2-Download“ unter 46.8.113227 gesendet“, erklärten die Forscher. „Dadurch kann der Bedrohungsakteur den E-Mail-Verkehr, der über den Router geleitet wurde, und einen Teil des Dateiübertragungsverkehrs passiv erfassen.
Obwohl nur wenige Unternehmen mit Hiatus infiziert sind, können die Auswirkungen dennoch erheblich sein, sagen die Forscher, da Hacker E-Mail- und FTP-Anmeldeinformationen stehlen können.
Über: BleepingComputer (Öffnet in einem neuen Tab)