HiatusRAT . I nostri router trasformati in zombie.

9 Marzo 202310 Marzo 2023 Giovanni Popolizio cybersicurezza, HiatusRAT, RAT, Remote Access Trojan, sicurezza informatica, Socks 5, SSL/TLS

HiatusRAT la nuova frontiera.

RAT : HiatusRAT. Alcuni ricercatori hanno scoperto un malware avanzato che sta trasformando i router aziendali in postazioni di ascolto controllate dagli aggressori. Una volta compromesse sono in grado di sniffare le e-mail e rubare i file in una campagna in corso che sta colpendo il Nord e il Sud America e l’Europa.

Oltre a catturare passivamente la posta elettronica IMAP, SMTP e POP, il malware introduce nei router un Trojan per l’accesso remoto che consente agli aggressori di scaricare file ed eseguire comandi a loro scelta. La backdoor consente inoltre agli aggressori di convogliare i dati da altri server attraverso il router, trasformando il dispositivo in un proxy occulto per nascondere la vera origine dell’attività dannosa.

Ma cosa è un RAT ?

Un Remote Access Trojan (RAT) è un tipo di malware che consente la presenza e la persistenza di un sistema di monitoraggio, una backdoor per il controllo amministrativo e l’accesso remoto illimitato e non autorizzato all’host della vittima. Il RAT è molto pericoloso perché consente agli intrusi di ottenere il controllo remoto dell’host compromesso. Gli aggressori possono utilizzare i anche i computer zombie per eseguire varie attività dannose, come l’installazione e la rimozione di programmi, la manipolazione di file, il dirottamento della webcam, la lettura di dati dalla tastiera, la raccolta di credenziali di accesso e il monitoraggio della clipboard.

I file.

Black Lotus Labs ha recentemente scoperto una serie di file dannosi che hanno innescato un’indagine su un cluster di attività non documentate che utilizza router DrayTek. Al momento , non sono ancora in grado di determinare il vettore di accesso iniziale; tuttavia, una volta sfruttato, l’aggressore distribuisce uno script bash che scarica ed esegue due binari dannosi sull’host compromesso: HiatusRAT e un binario per la cattura dei pacchetti .

HiatusRAT – il trojan principale – è l’aspetto più singolare della campagna. L’attore della minaccia ha nominato il file “qwert_8h_{architecture}” dove {architecture} corrisponde all’architettura dell’host. Ad esempio, la variante i386 è stata chiamata “qwert_8h_i386”.

Il secondo file è una variante di tcpdump, che consente all’attore della minaccia di eseguire la cattura dei pacchetti sui dati che attraversano il router. Abbiamo trovato quattro varianti dei binari di acquisizione dei pacchetti con la stessa funzionalità compilati per ARM, i386, MIPS64 big endian e MIPS32 little endian. Una volta scaricati, i file sono stati copiati in una nuova directory creata dall’attore della minaccia e chiamata “database”.

La pericolosità di HiatusRAT.

Il primo è HiatusRAT. Il RAT è dotato anche di due insolite funzioni aggiuntive:

Trasforma la macchina compromessa in un proxy occulto.
Utilizza un binario di cattura dei pacchetti incluso per monitorare il traffico del router sulle porte associate alle comunicazioni via e-mail e al trasferimento di file.

La capacità di catturare i pacchetti di HiatusRAT dovrebbe essere un importante campanello d’allarme per tutti coloro che inviano ancora e-mail non crittografate. Negli ultimi anni, i servizi di posta elettronica hanno migliorato la configurazione automatica degli account per l’utilizzo di protocolli come SSL/TLS sulla porta 993 o STARTTLS sulla porta 143. Chiunque invii ancora e-mail in chiaro sarà costretto a non farlo. Chi invia ancora e-mail in chiaro probabilmente se ne pentirà presto.

È inoltre opportuno ricordare che i router sono computer connessi a Internet e, in quanto tali, richiedono un’attenzione regolare per garantire il rispetto degli aggiornamenti e di altre misure, come la modifica di tutte le password predefinite. Per le aziende può essere utile utilizzare un sistema di monitoraggio dei router dedicato.

I ricercatori sospettano che l’attore della minaccia abbia incluso un software SOCKS 5 nella funzione 1, per offuscare l’origine del traffico dannoso, facendolo passare attraverso il router infetto.

Conclusioni.

Funzioni come config e shell sono comandi comuni per i RAT. Invece, funzioni come SOCKS5 e tcp_foward sono state create appositamente per consentire comunicazioni offuscate da altre macchine (come quelle infettate da un altro RAT) attraverso le vittime di Hiatus.

La funzione TCP, tuttavia, è più semplice. Apre un ascoltatore su una porta, quindi inoltra i dati TCP a un altro indirizzo IP e a un’altra porta. si ritiene che questo sia stato probabilmente progettato per inoltrare beacon o exfil da un altro RAT su un’altra macchina infetta, il che permetterebbe al router di essere un indirizzo IP per il malware su un dispositivo separato.

In base alle informazioni contenute nella documentazione di SOCKS 5, cui si fa riferimento come RFC 1928, questa funzione si differenzia per una maggiore flessibilità. Ciò significa che SOCKS 5 può supportare connessioni basate su UDP, connessioni IPv6 e un campo di autenticazione opzionale come un nome utente e una password o un token. L’aggressore potrebbe utilizzare il proxy SOCKS per ricevere i beacon di inoltro da un agente di beaconing o per inoltrare i comandi inviati a un agente passivo come una shell Web. Ciò consentirebbe all’agressore di interagire con un altro agente da un indirizzo IP compromesso e di imitare più fedelmente il comportamento legittimo. Questa tattica consentirebbe all’attore di eludere alcune capacità di rilevamento basate su geo-fencing o connessioni associate a provider di hosting a prova di bomba.

Beh.. fate attenzione !