Image: xiaoliangge/Adobe Stock (ang.). Wcześniej odsłonięty Możliwe, że routery mogą być wykorzystywane przez aktorów groźbowych jako wydajne lokalizacje w malware, często w przypadku marzeń. cyberespionage . Trasy są często mniej chronione niż standardowe urządzenia i często wykorzystują zmodyfikowane wersje istniejących systemów operacyjnych. W związku z tym turyści mogą być interesujące dla napastników, ale trudno je skompromitować i używać niż zwykle serwer.

Black Lotus Labs jest eksponowany przez Lumena. nowe malware docelowe routery W kampanii o nazwie Hiatus przez badaczy.

Jump to (ang.).

• What is the Hiatus malware campaign? (ang.).
• celem kampanii
• 4 kroki w celu ochrony przed zagrożeniem ze strony Hiatus malware What is the Hiatus malware campaign? (ang.).

Kampania Hiatus zakłada głównie modele DrayTek Vigor 2960 i 3900, które prowadzą architekturę i386. Trasy te są głównie wykorzystywane przez firmy średnich rozmiarów, jako że router obsługuje kilkaset połączeń pracowniczych VPN.

Badacze odkryli również inne złośliwe binarnie skierowane do architektury MIPS i ARM.

Początkowa wektora kompromisowego pozostaje nieznana, ale kiedy atakujący uzyskają dostęp do ukierunkowanych routerów, porzucają skrypt. Po wykonaniu tego skryptu, ściąga dwa dodatkowe pliki: malware HiatusRAT i wariant legalnego narzędzia tcpdump, który umożliwia zakup pakietów sieciowych.

Gdy pliki są uruchamiane, atakujący są w stanie kontrolować router i mogą pobrać pliki lub uruchamiać dowolne komendy, przechwytywać ruch sieciowy z zainfekowanego urządzenia lub użyć routera jako ścieżka. SOCKS5 Urządzenie pośrednie, które może być wykorzystywane do dalszych kompromisów lub do celów innych przedsiębiorstw.

HiatusRAT malware

Zastrzeżenia bezpieczeństwa

• Zagrożenia dla 2023 roku

• Najlepszy program zarządzania aktywami

• Meet jest najbardziej wszechstronnym przenośnym urządzeniem cybersecurity.

• Jak zabezpieczyć e-mail poprzez szyfrowanie, zarządzanie hasłami i więcej (TechRepublic Premium).

  Po uruchomieniu RAT sprawdza się, czy port 8816 jest używany. Jeśli port jest używany przez proces, zabija go i otwiera nowy słuchacz na porcie, zapewniając, że tylko jeden przypadek malware jest uruchomiony na urządzenie.

Następnie zbiera informacje na temat kompromisowych urządzeń, takich jak informacje systemowe (takie jak wersja jądra, adres MAC, architektura i wersja oprogramowania), informacje sieciowe (rozszerzenia interfejsów sieciowych i lokalnych adresów IP) oraz informacje systemowe (główne punkty, katalogowanie, system plików i system plików). Ponadto gromadzi listę wszystkich bieżących procesów.

Po zebraniu wszystkich informacji, złośliwe oprogramowanie wysyła go do kontrolowanego przez atakującego serwera C2.

Malware ma więcej możliwości, takich jak aktualizacja pliku konfiguracyjnego, zapewnianie atakującego zdalnego ostrzału, odczytywanie/ usuwanie plików, pobranie i wykonywaniu plików lub umożliwienie pakietów SOCKS5 do przodu lub pakietów TCP.

pakiet

Oprócz HiatusRAT, aktor zagrożenia również wykorzystuje wariant legalnego narzędzia tcpdump, który umożliwia przechwycenie pakietów sieciowych na urządzenie.

Pismo smyczkowe używane przez aktora grożącego wykazywało szczególne zainteresowanie kontaktami z portami 21, 25 110 i 143, które są zazwyczaj poświęcone protokołom transferu plików oraz przesyłom pocztowym (SMTP, POP3 i IMAP).

Scenariusz umożliwia przeszukanie większej liczby portów, jeśli jest to konieczne. Jeśli użyte, pakiety przechwycone są wysyłane do przeładowania C2, innej od przechwytywania pakietów do określonej długości.

Pozwala to zagrożeniu aktorowi na przechwytywanie pełnych plików przekazywanych przez protokół FTP lub e-mail, które przecinają zainfekowane urządzenie.

celem kampanii

Firma Black Lotus Labs zidentyfikowała około 100 unikalnych adresów IP z serwerami C2 kontrolowanymi przez aktora groźbowego od lipca 2022, które mogą być klasyfikowane w dwóch kategoriach.

• Firma Medium-size prowadzi własne serwery e-mail, czasami posiada zasięg adresów IP w internecie. Firmy w farmaceutach, usługach informatycznych i firmach konsultingowych, jak również rząd miejski, mogły być zidentyfikowane. Badacze podejrzewają, że celowanie firm informatycznych jest wyborem umożliwiającym dostęp do środowisk klientów.

• Dostawcy usług internetowych mają zasięg IP używany przez cele. Odbudowa geograficzna tych celów wykazuje duże zainteresowanie firmami i innymi krajami europejskimi, oprócz Ameryki Północnej. Figura A ).

  Figura A

Image: Black Lotus Labs (ang.). Heat map for Hiatus malware invasion (ang.). Według badaczy, około 2700 tras DrayTek Vigor 2960 i 1400 DrayTek Vigor 3900 łączy się z internetem. Zakażenie zaledwie 100 z tych tras sprawia, że kampania mała i trudna do wykrycia; fakt, że tylko 100 traktorów z tysiąca jest zderzonych podkreśla możliwość, że niebezpieczeństwo jest celem celów i nie jest zainteresowane większym celem.

4 kroki w celu ochrony przed zagrożeniem ze strony Hiatus malware

1. Regularnie reboot routers i nadal zachowuje swój oprogramowanie i oprogramowanie, które ulepszało kompromis ze strony wrażliwości.

Rozwiązanie bezpieczeństwa z możliwościami logowania i monitorowania zachowania routerów.

Zastąpiono 3 urządzeniami końcowymi, które mogą być aktualizowane dla maksymalnego bezpieczeństwa.

Wszystko, które przejeżdżają przez routery, powinno być szyfrowane, aby nawet przechwytać, że nie jest ona eksploatowana.

Czytaj: Polityka detekcji TechRepublic Premium (ang.).

Rozwinięcie: Pracuję dla Trenda Micro, ale w tym artykule wyrażone są moje poglądy.

 ###  Cybersecurity Insider Newsletter (ang.).

Strengthen your organization’s IT security defenses by zachować jak najnowsze wiadomości cybersekuracyjne, rozwiązania i najlepsze praktyki.

Wtorek i czwartki znakować — title: “New Hiatus malware battle target” date: “2023-07-20T04:03:01” draft: false description: “Nowy system złośliwy nazwany HiatusRAT zainfekował routery szpiegować na celach, głównie w Europie i w Stanach Zjednoczonych, które modele trasatorów są głównie celowane i jak chronić przed tym zagrożeniem bezpieczeństwa. " autor: “toto” image: “https://cdn.99tz.top/08f6066323/2023/04/6539bd2ace204637be8fac0a627c0892.webp" cover: “https://cdn.99tz.top/08f6066323/2023/04/6539bd2ace204637be8fac0a627c0892.webp" tags: [‘cybersecurity’, ‘routers’] categories: [‘Networking’, ‘Security’] theme: light

Image: xiaoliangge/Adobe Stock (ang.). Wcześniej odsłonięty Możliwe, że routery mogą być wykorzystywane przez aktorów groźbowych jako wydajne lokalizacje w malware, często w przypadku marzeń. cyberespionage . Trasy są często mniej chronione niż standardowe urządzenia i często wykorzystują zmodyfikowane wersje istniejących systemów operacyjnych. W związku z tym turyści mogą być interesujące dla napastników, ale trudno je skompromitować i używać niż zwykle serwer.

Black Lotus Labs jest eksponowany przez Lumena. nowe malware docelowe routery W kampanii o nazwie Hiatus przez badaczy.

Jump to (ang.).

• What is the Hiatus malware campaign? (ang.).
• celem kampanii
• 4 kroki w celu ochrony przed zagrożeniem ze strony Hiatus malware What is the Hiatus malware campaign? (ang.).

Kampania Hiatus zakłada głównie modele DrayTek Vigor 2960 i 3900, które prowadzą architekturę i386. Trasy te są głównie wykorzystywane przez firmy średnich rozmiarów, jako że router obsługuje kilkaset połączeń pracowniczych VPN.

Badacze odkryli również inne złośliwe binarnie skierowane do architektury MIPS i ARM.

Początkowa wektora kompromisowego pozostaje nieznana, ale kiedy atakujący uzyskają dostęp do ukierunkowanych routerów, porzucają skrypt. Po wykonaniu tego skryptu, ściąga dwa dodatkowe pliki: malware HiatusRAT i wariant legalnego narzędzia tcpdump, który umożliwia zakup pakietów sieciowych.

Gdy pliki są uruchamiane, atakujący są w stanie kontrolować router i mogą pobrać pliki lub uruchamiać dowolne komendy, przechwytywać ruch sieciowy z zainfekowanego urządzenia lub użyć routera jako ścieżka. SOCKS5 Urządzenie pośrednie, które może być wykorzystywane do dalszych kompromisów lub do celów innych przedsiębiorstw.

HiatusRAT malware

Zastrzeżenia bezpieczeństwa

• Zagrożenia dla 2023 roku

• Najlepszy program zarządzania aktywami

• Meet jest najbardziej wszechstronnym przenośnym urządzeniem cybersecurity.

• Jak zabezpieczyć e-mail poprzez szyfrowanie, zarządzanie hasłami i więcej (TechRepublic Premium).

  Po uruchomieniu RAT sprawdza się, czy port 8816 jest używany. Jeśli port jest używany przez proces, zabija go i otwiera nowy słuchacz na porcie, zapewniając, że tylko jeden przypadek malware jest uruchomiony na urządzenie.

Następnie zbiera informacje na temat kompromisowych urządzeń, takich jak informacje systemowe (takie jak wersja jądra, adres MAC, architektura i wersja oprogramowania), informacje sieciowe (rozszerzenia interfejsów sieciowych i lokalnych adresów IP) oraz informacje systemowe (główne punkty, katalogowanie, system plików i system plików). Ponadto gromadzi listę wszystkich bieżących procesów.

Po zebraniu wszystkich informacji, złośliwe oprogramowanie wysyła go do kontrolowanego przez atakującego serwera C2.

Malware ma więcej możliwości, takich jak aktualizacja pliku konfiguracyjnego, zapewnianie atakującego zdalnego ostrzału, odczytywanie/ usuwanie plików, pobranie i wykonywaniu plików lub umożliwienie pakietów SOCKS5 do przodu lub pakietów TCP.

pakiet

Oprócz HiatusRAT, aktor zagrożenia również wykorzystuje wariant legalnego narzędzia tcpdump, który umożliwia przechwycenie pakietów sieciowych na urządzenie.

Pismo smyczkowe używane przez aktora grożącego wykazywało szczególne zainteresowanie kontaktami z portami 21, 25 110 i 143, które są zazwyczaj poświęcone protokołom transferu plików oraz przesyłom pocztowym (SMTP, POP3 i IMAP).

Scenariusz umożliwia przeszukanie większej liczby portów, jeśli jest to konieczne. Jeśli użyte, pakiety przechwycone są wysyłane do przeładowania C2, innej od przechwytywania pakietów do określonej długości.

Pozwala to zagrożeniu aktorowi na przechwytywanie pełnych plików przekazywanych przez protokół FTP lub e-mail, które przecinają zainfekowane urządzenie.

celem kampanii

Firma Black Lotus Labs zidentyfikowała około 100 unikalnych adresów IP z serwerami C2 kontrolowanymi przez aktora groźbowego od lipca 2022, które mogą być klasyfikowane w dwóch kategoriach.

• Firma Medium-size prowadzi własne serwery e-mail, czasami posiada zasięg adresów IP w internecie. Firmy w farmaceutach, usługach informatycznych i firmach konsultingowych, jak również rząd miejski, mogły być zidentyfikowane. Badacze podejrzewają, że celowanie firm informatycznych jest wyborem umożliwiającym dostęp do środowisk klientów.

• Dostawcy usług internetowych mają zasięg IP używany przez cele. Odbudowa geograficzna tych celów wykazuje duże zainteresowanie firmami i innymi krajami europejskimi, oprócz Ameryki Północnej. Figura A ).

  Figura A

Image: Black Lotus Labs (ang.). Heat map for Hiatus malware invasion (ang.). Według badaczy, około 2700 tras DrayTek Vigor 2960 i 1400 DrayTek Vigor 3900 łączy się z internetem. Zakażenie zaledwie 100 z tych tras sprawia, że kampania mała i trudna do wykrycia; fakt, że tylko 100 traktorów z tysiąca jest zderzonych podkreśla możliwość, że niebezpieczeństwo jest celem celów i nie jest zainteresowane większym celem.

4 kroki w celu ochrony przed zagrożeniem ze strony Hiatus malware

1. Regularnie reboot routers i nadal zachowuje swój oprogramowanie i oprogramowanie, które ulepszało kompromis ze strony wrażliwości.

Rozwiązanie bezpieczeństwa z możliwościami logowania i monitorowania zachowania routerów.

Zastąpiono 3 urządzeniami końcowymi, które mogą być aktualizowane dla maksymalnego bezpieczeństwa.

Wszystko, które przejeżdżają przez routery, powinno być szyfrowane, aby nawet przechwytać, że nie jest ona eksploatowana.

Czytaj: Polityka detekcji TechRepublic Premium (ang.).

Rozwinięcie: Pracuję dla Trenda Micro, ale w tym artykule wyrażone są moje poglądy.

 ###  Cybersecurity Insider Newsletter (ang.).

Strengthen your organization’s IT security defenses by zachować jak najnowsze wiadomości cybersekuracyjne, rozwiązania i najlepsze praktyki.

Wtorek i czwartki znakować