Un malware complejo nunca antes visto está apuntando a enrutadores de nivel empresarial para espiar encubiertamente a las víctimas en América Latina, Europa y América del Norte al menos desde julio de 2022.
Se ha descubierto que la elusiva campaña, denominada Hiatus por Lumen Black Lotus Labs, implementa dos binarios maliciosos, un troyano de acceso remoto denominado HiatusRAT y una variante de tcpdump que permite capturar la captura de paquetes en el dispositivo de destino.
«Una vez que un sistema objetivo está infectado, HiatusRAT permite al actor de amenazas interactuar de forma remota con el sistema, y utiliza la funcionalidad preconstruida […] para convertir la máquina comprometida en un proxy encubierto para el actor de la amenaza», dijo la compañía en un informe compartido con The Hacker News.
«El binario de captura de paquetes permite al actor monitorear el tráfico del enrutador en los puertos asociados con el correo electrónico y las comunicaciones de transferencia de archivos».
El clúster de amenazas destaca principalmente los modelos de enrutadores DrayTek Vigor al final de su vida útil (EoL) 2960 y 3900, con aproximadamente 100 dispositivos expuestos a Internet comprometidos a mediados de febrero de 2023. Algunas de las verticales de la industria afectadas incluyen productos farmacéuticos, servicios de TI / empresas de consultoría y gobierno municipal, entre otros.
Curiosamente, esto representa solo una pequeña fracción de los 4.100 enrutadores DrayTek 2960 y 3900 que son accesibles públicamente a través de Internet, lo que aumenta la posibilidad de que «el actor de amenazas esté manteniendo intencionalmente una huella mínima para limitar su exposición».
Dado que los dispositivos afectados son enrutadores de gran ancho de banda que pueden admitir simultáneamente cientos de conexiones VPN, se sospecha que el objetivo es espiar objetivos y establecer una red proxy sigilosa.
«Estos dispositivos generalmente viven fuera del perímetro de seguridad tradicional, lo que significa que generalmente no son monitoreados o actualizados», dijo Mark Dehus, director de inteligencia de amenazas de Lumen Black Lotus Labs. «Esto ayuda al actor a establecer y mantener la persistencia a largo plazo sin ser detectado».
Se desconoce el vector de acceso inicial exacto utilizado en los ataques, pero una violación exitosa es seguida por el despliegue de un script bash que descarga y ejecuta HiatusRAT y un binario de captura de paquetes.
HiatusRAT es rico en funciones y puede recopilar información del enrutador, ejecutar procesos y ponerse en contacto con un servidor remoto para obtener archivos o ejecutar comandos arbitrarios. También es capaz de enviar por proxy el tráfico de comando y control (C2) a través del enrutador.
El uso de enrutadores comprometidos como infraestructura proxy es probablemente un intento de ofuscar las operaciones C2, dijeron los investigadores.
Los hallazgos se producen más de seis meses después de que Lumen Black Lotus Labs también arrojara luz sobre una campaña de malware no relacionada centrada en el enrutador que utilizó un nuevo troyano llamado ZuoRAT.
«El descubrimiento de Hiatus confirma que los actores continúan persiguiendo la explotación de enrutadores», dijo Dehus. «Estas campañas demuestran la necesidad de asegurar el ecosistema de enrutadores, y los enrutadores deben ser monitoreados, reiniciados y actualizados regularmente, mientras que los dispositivos al final de su vida útil deben ser reemplazados».
Fuente: https://thehackernews.com