Redes

La nueva campaña de malware Hiatus apunta a los enrutadores

0 0 4 minutos de lectura
A padlock on a router.

Un nuevo malware llamado HiatusRAT infecta enrutadores para espiar a sus objetivos, principalmente en Europa y EE. UU. Conozca a qué modelos de enrutador se dirigen principalmente y cómo protegerse contra esta amenaza de seguridad.

Candado en el enrutador.Imagen: xiaoliangge/Adobe Stock

Como se mencionó anteriormente, los enrutadores pueden ser utilizados por los actores de amenazas como una ubicación válida para plantar malware, a menudo para ciberespionaje. Los enrutadores generalmente están menos protegidos que los equipos estándar y, a menudo, usan versiones modificadas de los sistemas operativos existentes. Por lo tanto, apuntar a los enrutadores puede ser interesante para los atacantes, pero más difícil de comprometer y usar que los puntos finales o servidores habituales.

Black Lotus Labs de Lumen expuso nuevo malware dirigido a enrutadores en una campaña llamada Hiatus por investigadores.

Salta a:

¿Qué es la campaña de malware Hiatus?

La campaña Hiatus se dirige principalmente a los modelos de enrutador DrayTek Vigor 2960 y 3900 que ejecutan la arquitectura i386. Estos enrutadores son utilizados principalmente por empresas medianas porque las características del enrutador admiten conexiones VPN para cientos de empleados.

Los investigadores también encontraron otros binarios maliciosos dirigidos a arquitecturas basadas en MIPS y ARM.

El vector de compromiso inicial sigue siendo desconocido, pero una vez que los atacantes obtuvieron acceso al enrutador objetivo, lanzaron un script bash. Cuando se ejecuta el script bash, descarga dos archivos adicionales: el malware HiatusRAT y una variante de la herramienta legítima tcpdump, que captura paquetes de red.

LEER  Cómo instalar la plataforma Dolibarr ERP/CRM en Ubuntu Server 22.04
Publicaciones relacionadas

Una vez que se ejecutan estos archivos, el atacante toma el control del enrutador y puede descargar archivos o ejecutar comandos arbitrarios, interceptar el tráfico de red del dispositivo infectado o usar el enrutador como un dispositivo proxy SOCKS5, que puede usarse para un mayor compromiso o apuntar a otras empresas. .

Malware HiatusRAT

Informes de seguridad de lectura obligada

Cuando se inicia la RAT, comprueba si el puerto 8816 está en uso. Si un proceso está utilizando el puerto, lo elimina y abre un nuevo agente de escucha en el puerto para garantizar que solo se esté ejecutando una instancia del malware en el dispositivo.

Luego recopila información sobre el dispositivo infectado, como información del sistema (como la versión del kernel, la dirección MAC, el tipo de arquitectura y la versión del firmware), información de la red (configuración de la interfaz de red y dirección IP local) e información del sistema de archivos (puntos de montaje, listados de directorios, tipos de sistemas de archivos y sistemas de archivos de memoria virtual). Además, recopila una lista de todos los procesos en ejecución.

Después de recopilar toda esta información, el malware la envía a un servidor Heartbeat C2 controlado por el atacante.

El malware tiene muchas más funciones, como actualizar sus archivos de configuración, proporcionar a los atacantes un shell remoto, leer/eliminar/cargar archivos, descargar y ejecutar archivos, o habilitar el reenvío de paquetes SOCKS5 o el reenvío de paquetes TCP simple.

Captura de red

Además de HiatusRAT, los atacantes implementaron una variante de la herramienta legítima tcpdump que captura paquetes de red en dispositivos infectados.

El script bash utilizado por los atacantes está particularmente interesado en las conexiones en los puertos 21, 25, 110 y 143, que normalmente están dedicados a protocolos de transferencia de archivos y transferencias de correo electrónico (protocolos de correo electrónico SMTP, POP3 e IMAP).

El script habilita más rastreo de puertos si es necesario. Si se usa, después de interceptar una cierta longitud, el paquete de datos capturado se envía a la carga C2, que es diferente del latido C2.

Esto permite a los actores de amenazas interceptar de forma pasiva transferencias completas de archivos a través del protocolo FTP o correos electrónicos que atraviesan dispositivos infectados.

posicionamiento de actividad

Desde julio de 2023, Black Lotus Labs identificó aproximadamente 100 direcciones IP únicas que se comunican con servidores C2 controlados por actores de amenazas, que se dividen en dos categorías:

  • Las empresas medianas ejecutan sus propios servidores de correo electrónico y, a veces, tienen rangos de direcciones IP que las identifican en Internet. Se pueden identificar empresas farmacéuticas, empresas de servicios o consultoría de TI, gobiernos municipales, etc. Los investigadores sospechan que apuntar a las empresas de TI es una opción para permitir el acceso descendente a los entornos de los clientes.
  • El rango de IP del cliente del proveedor de servicios de Internet utilizado por el objetivo.

La redistribución geográfica de los objetivos muestra un gran interés por parte de las empresas del Reino Unido y algunos otros países europeos además de América del Norte (Figura A).

Figura A

Mapa de calor de las infecciones activas del malware Hiatus.Imagen: Black Lotus Labs de Lumen. Mapa de calor de las infecciones activas del malware Hiatus.

Unos 2700 enrutadores DrayTek Vigor 2960 y 1400 enrutadores DrayTek Vigor 3900 estaban conectados a Internet, informaron los investigadores. Solo alrededor de 100 de estos enrutadores se infectaron, lo que hizo que la campaña fuera pequeña y difícil de detectar; el hecho de que solo 100 de los miles de enrutadores se vieran afectados subraya que el actor de amenazas solo se dirige a objetivos específicos y no está interesado en la posibilidad de otros más grandes.

4 pasos para defenderse contra la amenaza de malware Hiatus

1. Reinicie periódicamente los enrutadores y parchee su firmware y software para protegerlos contra vulnerabilidades comunes.

2. Implemente una solución de seguridad con la capacidad de registrar y monitorear el comportamiento del enrutador.

3. Los dispositivos al final de su vida útil deben retirarse y reemplazarse con modelos compatibles actualizables para lograr la máxima seguridad.

4. Todo el tráfico que pasa a través del enrutador debe estar encriptado para que incluso interceptarlo no lo haga explotable.

Lea a continuación: Estrategia de detección de intrusos (Edición Premium de Tecnopedia)

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

LEER  El sitio web de ABC Systems ofrece soluciones de seguimiento de software
Etiquetas
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba