"Hiatus" olarak bilinen yeni bir kötü amaçlı yazılım kampanyası, verileri çalmak ve kurbanları gözetlemek için küçük işletme yönlendiricilerini hedefliyor.
Yeni "Hiatus" Kötü Amaçlı Yazılım Kampanyası İş Yönlendiricilerine Saldırıyor
"Hiatus" adlı yeni bir kötü amaçlı yazılım kampanyası, HiatiusRAT kötü amaçlı yazılımını kullanan küçük işletme yönlendiricilerini hedefliyor.
6 Mart 2023'te araştırma şirketi Lumen, bu kötü niyetli kampanyayı tartışan bir blog yazısı yayınladı. İçinde Lümen blog yazısı, "Lumen Black Lotus Labs® güvenliği ihlal edilmiş yönlendiricileri içeren, daha önce hiç görülmemiş başka bir kampanya belirledi."
HiatusRAT, bilinen bir kötü amaçlı yazılım türüdür. Uzaktan Erişim Truva Atı (RAT). Uzaktan Erişim Truva Atları, siber suçlular tarafından hedeflenen bir cihaza uzaktan erişim ve kontrol sağlamak için kullanılır. HiatusRAT kötü amaçlı yazılımının en son sürümü, Temmuz 2022'den beri kullanımda görünüyor.
Lumen blog yazısında ayrıca "HiatusRAT, tehdit aktörünün sistemle uzaktan etkileşime girmesine izin veriyor ve güvenliği ihlal edilmiş makineyi gizli bir proxy'ye dönüştürmek için önceden oluşturulmuş işlevselliklerden (bazıları oldukça sıra dışı) yararlanır. tehdit aktörü."
"tcpdump" komut satırı yardımcı programını kullanma, HiatusRAT, hedeflenen yönlendirici üzerinden geçen ağ trafiğini yakalayarak veri hırsızlığına izin verebilir. Lumen ayrıca, bu saldırıya karışan kötü niyetli operatörlerin saldırı yoluyla gizli bir proxy ağı kurmayı hedeflediklerini de iddia etti.
HiatusRAT Belirli Yönlendirici Türlerini Hedefliyor
HiatusRAT kötü amaçlı yazılımı, ömrünü tamamlamış DrayTek Vigor VPN yönlendiricilerine, özellikle i386 mimarisi çalıştıran 2690 ve 3900 modellerine saldırmak için kullanılıyor. Bunlar, işletmeler tarafından uzak çalışanlara VPN desteği vermek için kullanılan yüksek bant genişliğine sahip yönlendiricilerdir.
Bu yönlendirici modelleri, genellikle bu kampanyada hedef alınma riski taşıyan küçük ve orta ölçekli işletme sahipleri tarafından kullanılır. Araştırmacılar, bu yazı yazılırken bu DrayTek Vigor yönlendiricilerine nasıl sızıldığını bilmiyorlar.
Şubat ortasında 4.000'den fazla makinenin bu kötü amaçlı yazılım kampanyasına karşı savunmasız olduğu tespit edildi, bu da birçok işletmenin hala saldırı riski altında olduğu anlamına geliyor.
Saldırganlar Yalnızca Birkaç DrayTek Yönlendiricisini Hedefliyor
Lumen, bugün internete bağlı tüm DrayTek 2690 ve 3900 yönlendiricileri arasında yalnızca yüzde 2'lik bir enfeksiyon oranı bildirdi.
Bu, kötü niyetli operatörlerin maruz kalmayı sınırlamak ve tespit edilmekten kaçınmak için dijital ayak izlerini minimumda tutmaya çalıştıklarını gösterir. Lumen ayrıca söz konusu blog yazısında bu taktiğin saldırganlar tarafından "kritik mevcudiyet noktalarını korumak" için de kullanıldığını öne sürdü.
HiatusRAT Devam Eden Bir Risk Oluşturuyor
HiatusRAT, bu yazının yazıldığı sırada, binlerce yönlendiricinin hala bu kötü amaçlı yazılıma maruz kalması nedeniyle birçok küçük işletme için risk oluşturuyor. Bu kötü niyetli kampanyada kaç tane DrayTek yönlendiricisinin başarıyla hedeflendiğini zaman gösterecek.