Actores de amenazas usan malware avanzado para secuestrar enrutadores de nivel empresarial
Actores de amenazas usan malware avanzado para secuestrar enrutadores de nivel empresarial
Expandir
imágenes falsas
Los investigadores han descubierto malware avanzado que convierte los enrutadores de nivel empresarial en puestos de escucha controlados por atacantes que pueden olfatear correos electrónicos y robar archivos en una campaña en curso que llega a Internet en América del Norte, del Sur y Europa.
Además de capturar pasivamente correos electrónicos IMAP, SMTP y POP, el malware también secuestra enrutadores con un troyano de acceso remoto que permite a los atacantes descargar archivos y ejecutar comandos a su elección. La puerta trasera también permite a los atacantes canalizar datos de otros servidores a través del enrutador, convirtiendo el dispositivo en un proxy encubierto para ocultar el verdadero origen de la actividad maliciosa.
Agrandar
Laboratorios de loto negro
"Este tipo de agente demuestra que cualquier persona con un enrutador que use Internet puede ser un objetivo potencial, y puede usarse como proxy para otra campaña, incluso si la entidad propietaria del enrutador no se ven a sí mismos como un objetivo de inteligencia", escribieron los investigadores de Black Lotus Labs de la firma de seguridad Lumen. "Sospechamos que los actores de amenazas continuarán usando múltiples activos comprometidos junto con otros para evitar la detección".
Los investigadores dijeron que la campaña, denominada Hiatus, ha estado en curso al menos desde julio pasado. Hasta ahora, ha llegado principalmente a los modelos DrayTek Vigor 2960 y 3900 al final de su vida útil que ejecutan la arquitectura i386. Estos enrutadores de banda ancha admiten conexiones de red privada virtual para cientos de trabajadores remotos. Hasta la fecha, se han infectado aproximadamente 100 enrutadores, o aproximadamente el 2 % de los enrutadores DrayTek 2960 y 3900 expuestos a Internet. Los investigadores sospechan que el actor desconocido detrás de Hiatus deliberadamente mantuvo una huella pequeña para mantener el sigilo de la operación.
Black Lotus todavía no sabe cómo se piratean los dispositivos en primer lugar. Una vez y como sea que suceda, el malware se instala a través de un script bash implementado después de la explotación. Descarga e instala los dos binarios principales.
El primero es HiatusRAT. Una vez instalado, permite que un hacker remoto ejecute comandos o software nuevo en el dispositivo. El RAT también viene con dos funciones inusuales adicionales incorporadas: (1) "convertir la máquina comprometida en un proxy secreto para el atacante" y (2) usa un binario de captura de paquetes incluido para "monitorear el tráfico del enrutador en los puertos asociados con e -comunicaciones por correo y transferencia de archivos".
Los investigadores sospechan que el actor de amenazas incluyó el software SOCKS 5 en la función 1 para ofuscar el origen del tráfico malicioso al pasarlo a través del enrutador infectado. Los investigadores de Black Lotus escribieron:
La función tcp_forward de HiatusRAT permite que un actor malicioso transmita su marcado desde una infección separada a través de un dispositivo comprometido antes de llegar a un nodo C2 ascendente. Por el contrario, también pueden enviar su comando de regreso a un shell web desde la infraestructura ascendente a través del enrutador comprometido en el país del dispositivo objetivo y luego interactuar con un agente más pasivo para enmascarar su verdadera fuente de origen pasando métricas basadas en la ubicación. seguridad.
Los investigadores han descubierto malware avanzado que convierte los enrutadores de nivel empresarial en puestos de escucha controlados por atacantes que pueden olfatear correos electrónicos y robar archivos en una campaña en curso que llega a Internet en América del Norte, del Sur y Europa.
Además de capturar pasivamente correos electrónicos IMAP, SMTP y POP, el malware también secuestra enrutadores con un troyano de acceso remoto que permite a los atacantes descargar archivos y ejecutar comandos a su elección. La puerta trasera también permite a los atacantes canalizar datos de otros servidores a través del enrutador, convirtiendo el dispositivo en un proxy encubierto para ocultar el verdadero origen de la actividad maliciosa.
Agrandar
Laboratorios de loto negro
"Este tipo de agente demuestra que cualquier persona con un enrutador que use Internet puede ser un objetivo potencial, y puede usarse como proxy para otra campaña, incluso si la entidad propietaria del enrutador no se ven a sí mismos como un objetivo de inteligencia", escribieron los investigadores de Black Lotus Labs de la firma de seguridad Lumen. "Sospechamos que los actores de amenazas continuarán usando múltiples activos comprometidos junto con otros para evitar la detección".
Los investigadores dijeron que la campaña, denominada Hiatus, ha estado en curso al menos desde julio pasado. Hasta ahora, ha llegado principalmente a los modelos DrayTek Vigor 2960 y 3900 al final de su vida útil que ejecutan la arquitectura i386. Estos enrutadores de banda ancha admiten conexiones de red privada virtual para cientos de trabajadores remotos. Hasta la fecha, se han infectado aproximadamente 100 enrutadores, o aproximadamente el 2 % de los enrutadores DrayTek 2960 y 3900 expuestos a Internet. Los investigadores sospechan que el actor desconocido detrás de Hiatus deliberadamente mantuvo una huella pequeña para mantener el sigilo de la operación.
Black Lotus todavía no sabe cómo se piratean los dispositivos en primer lugar. Una vez y como sea que suceda, el malware se instala a través de un script bash implementado después de la explotación. Descarga e instala los dos binarios principales.
El primero es HiatusRAT. Una vez instalado, permite que un hacker remoto ejecute comandos o software nuevo en el dispositivo. El RAT también viene con dos funciones inusuales adicionales incorporadas: (1) "convertir la máquina comprometida en un proxy secreto para el atacante" y (2) usa un binario de captura de paquetes incluido para "monitorear el tráfico del enrutador en los puertos asociados con e -comunicaciones por correo y transferencia de archivos".
Los investigadores sospechan que el actor de amenazas incluyó el software SOCKS 5 en la función 1 para ofuscar el origen del tráfico malicioso al pasarlo a través del enrutador infectado. Los investigadores de Black Lotus escribieron:
La función tcp_forward de HiatusRAT permite que un actor malicioso transmita su marcado desde una infección separada a través de un dispositivo comprometido antes de llegar a un nodo C2 ascendente. Por el contrario, también pueden enviar su comando de regreso a un shell web desde la infraestructura ascendente a través del enrutador comprometido en el país del dispositivo objetivo y luego interactuar con un agente más pasivo para enmascarar su verdadera fuente de origen pasando métricas basadas en la ubicación. seguridad.
Expandir
imágenes falsas
Agrandar
Laboratorios de loto negro
Agrandar
Negro...
