Một chiến dịch phần mềm độc hại mới đang nhắm mục tiêu vào các bộ định tuyến dành cho doanh nghiệp nhỏ để đánh cắp dữ liệu.
Một chiến dịch phần mềm độc hại mới, được gọi là “Hiatus”, đang nhắm mục tiêu vào các bộ định tuyến của doanh nghiệp nhỏ để đánh cắp dữ liệu và theo dõi nạn nhân.
Chiến dịch phần mềm độc hại “gián đoạn” mới tấn công bộ định tuyến doanh nghiệp
Một chiến dịch phần mềm độc hại mới, được đặt tên là “Hiatus” đang nhắm mục tiêu các bộ định tuyến dành cho doanh nghiệp nhỏ sử dụng phần mềm độc hại HiatiusRAT.
Vào ngày 6 tháng 3 năm 2023, công ty nghiên cứu Lumen đã xuất bản một bài đăng trên blog thảo luận về chiến dịch độc hại này. bên trong Bài đăng trên blog Lumencó tuyên bố rằng “Lumen Black Lotus Labs® đã xác định một chiến dịch khác chưa từng thấy trước đây liên quan đến các bộ định tuyến bị xâm phạm.”
HiatusRAT là một loại phần mềm độc hại được gọi là Trojan truy cập từ xa (RAT). Truy cập từ xa Trojan được tội phạm mạng sử dụng để giành quyền truy cập và kiểm soát từ xa thiết bị được nhắm mục tiêu. Phiên bản mới nhất của phần mềm độc hại HiatusRAT dường như đã được sử dụng từ tháng 7 năm 2022.
Trong bài đăng trên blog của Lumen, người ta cũng tuyên bố rằng “HiatusRAT cho phép tác nhân đe dọa tương tác từ xa với hệ thống và nó sử dụng chức năng dựng sẵn – một số chức năng rất bất thường – để chuyển đổi máy bị xâm nhập thành proxy bí mật cho tác nhân đe dọa .”
Sử dụng tiện ích dòng lệnh “tcpdump”, HiatusRAT có thể bắt lưu lượng mạng đi qua bộ định tuyến được nhắm mục tiêu, cho phép đánh cắp dữ liệu. Lumen cũng suy đoán rằng những kẻ khai thác độc hại tham gia vào cuộc tấn công này nhằm mục đích thiết lập một mạng proxy bí mật thông qua cuộc tấn công.
HiatusRAT đang nhắm mục tiêu các loại bộ định tuyến cụ thể
Phần mềm độc hại HiatusRAT đang được sử dụng để tấn công các bộ định tuyến DrayTek Vigor VPN đã hết tuổi thọ, cụ thể là các mẫu 2690 và 3900 chạy kiến trúc i386. Đây là những bộ định tuyến băng thông cao được các doanh nghiệp sử dụng để hỗ trợ VPN cho nhân viên làm việc từ xa.
Các mô hình bộ định tuyến này thường được sử dụng bởi các chủ doanh nghiệp vừa và nhỏ, những người có nguy cơ trở thành mục tiêu cụ thể trong chiến dịch này. Các nhà nghiên cứu không biết làm thế nào các bộ định tuyến DrayTek Vigor này bị xâm nhập vào thời điểm viết bài.
Hơn 4.000 máy được phát hiện dễ bị tấn công bởi chiến dịch phần mềm độc hại này vào giữa tháng 2, nghĩa là nhiều doanh nghiệp vẫn có nguy cơ bị tấn công.
Những kẻ tấn công chỉ nhắm mục tiêu vào một vài bộ định tuyến DrayTek
Trong số tất cả các bộ định tuyến DrayTek 2690 và 3900 được kết nối với internet hiện nay, Lumen đã báo cáo tỷ lệ lây nhiễm chỉ là 2%.
Điều này cho thấy rằng các nhà khai thác độc hại đang cố gắng giữ dấu vết kỹ thuật số của họ ở mức tối thiểu để hạn chế tiếp xúc và tránh bị phát hiện. Lumen cũng gợi ý trong bài đăng trên blog nói trên rằng chiến thuật này cũng đang được những kẻ tấn công sử dụng để “duy trì các điểm hiện diện quan trọng”.
HiatusRAT đặt ra một rủi ro đang diễn ra
Tại thời điểm viết bài này, HiatusRAT gây rủi ro cho nhiều doanh nghiệp nhỏ, với hàng nghìn bộ định tuyến vẫn tiếp xúc với phần mềm độc hại này. Thời gian sẽ cho biết có bao nhiêu bộ định tuyến DrayTek được nhắm mục tiêu thành công trong chiến dịch độc hại này.