Eine neue Malware-Kampagne namens „Hiatus“ zielt auf Router kleiner Unternehmen ab, um Daten zu stehlen und Opfer auszuspionieren.
Neue „Hiatus“-Malware-Kampagne greift Business-Router an
Eine neue Malware-Kampagne namens „Hiatus“ zielt mit HiatiusRAT-Malware auf Router kleiner Unternehmen ab.
Am 6. März 2023 veröffentlichte das Forschungsunternehmen Lumen einen Blogbeitrag, in dem diese böswillige Kampagne diskutiert wurde. Im Lumen-Blogbeitrag, wurde festgestellt, dass "Lumen Black Lotus Labs® eine weitere, nie zuvor gesehene Kampagne mit kompromittierten Routern identifiziert hat."
HiatusRAT ist eine Art von Malware, bekannt als a Fernzugriffstrojaner (RAT). Fernzugriffstrojaner werden von Cyberkriminellen verwendet, um sich Fernzugriff und Kontrolle über ein Zielgerät zu verschaffen. Die neueste Version der Malware HiatusRAT scheint seit Juli 2022 im Einsatz zu sein.
Im Lumen-Blogbeitrag wurde auch festgestellt, dass „HiatusRAT es dem Angreifer ermöglicht, aus der Ferne mit dem System zu interagieren, und es verwendet vorgefertigte Funktionen – von denen einige sehr ungewöhnlich sind – um die kompromittierte Maschine in einen verdeckten Proxy für die zu konvertieren Bedrohungsakteur."
Verwenden des Befehlszeilendienstprogramms „tcpdump“., kann HiatusRAT den Netzwerkverkehr abfangen, der über den Zielrouter läuft, und so den Diebstahl von Daten ermöglichen. Lumen spekulierte auch, dass die an diesem Angriff beteiligten böswilligen Betreiber darauf abzielen, über den Angriff ein verdecktes Proxy-Netzwerk aufzubauen.
HiatusRAT zielt auf bestimmte Arten von Routern ab
Die HiatusRAT-Malware wird verwendet, um ausgediente DrayTek Vigor VPN-Router anzugreifen, insbesondere die Modelle 2690 und 3900 mit einer i386-Architektur. Dies sind Router mit hoher Bandbreite, die von Unternehmen verwendet werden, um Remote-Mitarbeitern VPN-Unterstützung zu bieten.
Diese Router-Modelle werden häufig von Inhabern kleiner bis mittlerer Unternehmen verwendet, die einem besonderen Risiko ausgesetzt sind, Ziel dieser Kampagne zu werden. Die Forscher wissen zum Zeitpunkt des Schreibens nicht, wie diese DrayTek Vigor-Router infiltriert wurden.
Mitte Februar wurde festgestellt, dass mehr als 4.000 Computer für diese Malware-Kampagne anfällig sind, was bedeutet, dass viele Unternehmen immer noch einem Angriffsrisiko ausgesetzt sind.
Angreifer zielen nur auf wenige DrayTek-Router ab
Von allen DrayTek 2690- und 3900-Routern, die heute mit dem Internet verbunden sind, meldete Lumen eine Infektionsrate von nur 2 Prozent.
Dies deutet darauf hin, dass die böswilligen Betreiber versuchen, ihren digitalen Fußabdruck auf ein Minimum zu beschränken, um die Gefährdung zu begrenzen und der Erkennung zu entgehen. Lumen deutete in dem oben genannten Blogbeitrag auch an, dass diese Taktik auch von Angreifern verwendet wird, um „kritische Präsenzpunkte aufrechtzuerhalten“.
HiatusRAT stellt ein laufendes Risiko dar
Zum Zeitpunkt des Verfassens dieses Artikels stellt HiatusRAT ein Risiko für viele kleine Unternehmen dar, da Tausende von Routern immer noch dieser Malware ausgesetzt sind. Die Zeit wird zeigen, wie viele DrayTek-Router von dieser böswilligen Kampagne erfolgreich angegriffen werden.
