Os ciberameaçadores por trás do malware HiatusRAT retornaram de seu hiato com uma nova onda de atividade de reconhecimento e segmentação voltada para organizações sediadas em Taiwan e um sistema de aquisições militares dos EUA.
Além de recompilar amostras de malware para diferentes arquiteturas, acredita-se que os artefatos tenham sido hospedados em novos servidores privados virtuais (VPSs), disse o Lumen Black Lotus Labs em um relatório publicado semana passada.
A empresa de cibersegurança descreveu o conjunto de atividades como "descarado" e "um dos mais audaciosos", não mostrando sinais de desaceleração.
A identidade e a origem dos ameaçadores ainda são desconhecidas.
Os alvos incluíam empresas comerciais, como fabricantes de semicondutores e produtos químicos, e pelo menos uma organização governamental municipal em Taiwan, bem como um servidor do Departamento de Defesa dos EUA (DoD) associado à envio e retirada de propostas para contratos de defesa.
O HiatusRAT foi divulgado pela primeira vez pela empresa de cibersegurança em março de 2023 como tendo como alvo roteadores de grau empresarial para espionar secretamente vítimas localizadas principalmente na América Latina e Europa como parte de uma campanha que começou em julho de 2022.
Eles infectaram cerca de 100 dispositivos de rede globalmente para coletar passivamente o tráfego e transformá-los em uma rede proxy de infraestrutura de comando e controle (C2).
O último conjunto de ataques, observado de meados de junho a agosto de 2023, envolve o uso de binários HiatusRAT pré-construídos projetados especificamente para arquiteturas Arm, Intel 80386 e x86-64, juntamente com MIPS, MIPS64 e i386.
Uma análise de telemetria para determinar as conexões feitas ao servidor que hospeda o malware revelou que "mais de 91% das conexões de entrada vieram de Taiwan, e parece haver uma preferência por dispositivos de borda fabricados pela Ruckus".
A infraestrutura HiatusRAT consiste em servidores de payload e reconhecimento, que se comunicam diretamente com as redes das vítimas.
Esses servidores são comandados por servidores de nível 1, que, por sua vez, são operados e gerenciados por servidores de nível 2.
Os atacantes foram identificados usando dois endereços IP diferentes 207.246.80[.]240 e 45.63.70[.]57 para se conectar ao servidor DoD em 13 de junho por aproximadamente um período de duas horas.
Estima-se que 11 MB de dados bidirecionais tenham sido transferidos durante o período.
Não está claro qual é o objetivo final, mas suspeita-se que o adversário possa ter procurado informações publicamente disponíveis relacionadas a contratos militares atuais e futuros para segmentação futura.
O direcionamento de ativos de perímetro, como roteadores, tornou-se algo comum nos últimos meses, com ciberameaçadores afiliados à China ligados à exploração de falhas de segurança em aparelhos Fortinet e SonicWall não corrigidos para estabelecer persistência de longo prazo nos ambientes alvo.
"Apesar das divulgações anteriores de ferramentas e capacidades, o ciberameaçador deu os passos mais mínimos para trocar os servidores de payload existentes e continuou com suas operações, sem sequer tentar reconfigurar sua infraestrutura C2", disse a empresa.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...