Un nuovo Malware infetta i Router Aziendali DrayTek Vigor

Vai ai contenuti

Un nuovo Malware infetta i Router Aziendali DrayTek Vigor

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Il nuovo malware infetta i router aziendali per il furto di dati




Una campagna di hacking in corso chiamata "Hiatus" prende di mira i modelli di router DrayTek Vigor 2960 e 3900 per rubare dati alle vittime e costruire una rete proxy nascosta.


I dispositivi DrayTek Vigor sono router VPN di classe aziendale utilizzati da organizzazioni di piccole e medie dimensioni per la connettività remota alle reti aziendali.

La nuova campagna di hacking, iniziata nel luglio 2022 ed è ancora in corso, si basa su tre componenti: uno script bash dannoso, un malware chiamato "HiatusRAT" e il legittimo "tcpdump", utilizzato per catturare il traffico di rete che scorre sul router.


Il componente HiatusRAT è l'aspetto più interessante, da cui prende il nome la campagna. Lo strumento viene utilizzato per scaricare payload aggiuntivi, eseguire comandi sul dispositivo violato e convertire il dispositivo in un proxy SOCKS5 per trasmettere comandi e controllare il traffico del server.

La campagna è stata scoperta dai Black Lotus Labs di Lumen, che riferiscono di aver visto almeno un centinaio di aziende infettate da HiatusRAT, principalmente in Europa, Nord America e Sud America.


Lo Hiatus attacca
Al momento, i ricercatori non sono in grado di determinare in che modo i router DrayTek siano stati inizialmente compromessi. Tuttavia, una volta che gli autori delle minacce ottengono l'accesso ai dispositivi, distribuiscono uno script bash che scarica tre componenti sul router: HiatusRAT e l'utilità legittima tcpdump.


Lo script prima scarica HiatusRAT in "/database/.updata" e lo esegue, facendo sì che il malware inizi ad ascoltare sulla porta 8816 e, se c'è già un processo in esecuzione su quella porta, lo uccide prima.

Successivamente, raccoglie le seguenti informazioni dal dispositivo violato:
Dati di sistema: indirizzo MAC, versione del kernel, architettura del sistema, versione del firmware
    Dati di rete: indirizzo IP del router, indirizzo IP locale, MAC dei dispositivi sulla LAN adiacente
    Dati del file system: punti di montaggio, posizioni dei percorsi a livello di directory, tipo di file system
    Dati di processo: nomi di processo, ID, UID e argomenti

HiatusRAT invia anche un heartbeat POST al C2 ogni 8 ore per aiutare l'autore della minaccia a tenere traccia dello stato del router compromesso.

L'analisi del reverse engineering di Black Lotus Labs ha rivelato le seguenti caratteristiche del malware:

    config – carica la nuova configurazione dal C2
    shell – genera una shell remota sul dispositivo infetto
    file: legge, elimina o esfiltra i file nel file C2
    executor – recupera ed esegue un file dal C2
    script – esegue uno script dal C2
    tcp_forward: trasmette qualsiasi set di dati TCP alla porta di ascolto dell'host a una posizione di inoltro
    socks5: imposta un proxy SOCKS v5 sul router violato
    quit – interrompe l'esecuzione del malware

Lo scopo del proxy SOCKS è inoltrare dati da altre macchine infette attraverso il router violato, offuscando il traffico di rete e imitando comportamenti legittimi.


Lo script bash installerà anche uno strumento di cattura dei pacchetti che ascolta il traffico di rete verso le porte TCP associate ai server di posta e alle connessioni FTP.

Le porte monitorate sono la porta 21 per FTP, la porta 25 per SMTP, la porta 110 utilizzata da POP3 e la porta 143 associata al protocollo IMAP. Poiché la comunicazione su queste porte non è crittografata, gli attori delle minacce potrebbero rubare dati sensibili, inclusi contenuti e-mail, credenziali e contenuti di file caricati e scaricati.

Pertanto, l'attaccante mira a catturare informazioni sensibili trasmesse attraverso il router compromesso.

"Una volta che i dati di acquisizione di questi pacchetti raggiungono una certa lunghezza di file, vengono inviati al "upload C2" situato in 46.8.113[.]227 insieme alle informazioni sul router host", si legge nel rapporto di Black Lotus.

"Ciò consente all'autore della minaccia di acquisire passivamente il traffico e-mail che ha attraversato il router e parte del traffico di trasferimento file".


La campagna Hiatus è di piccole dimensioni, ma può comunque avere un grave impatto sulle vittime, rubando potenzialmente e-mail e credenziali FTP per un ulteriore accesso alla rete. I ricercatori di Lumen ritengono probabile che l'autore della minaccia mantenga intenzionalmente un piccolo volume di attacchi per eludere il rilevamento.

Le scansioni di Black Lotus hanno rivelato che a metà febbraio 2023, circa 4.100 router DrayTek vulnerabili sono esposti su Internet,



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti