Em uma nova campanha de malware do HiatusRAT, atores maliciosos visaram um servidor pertencente ao Departamento de Defesa dos EUA no que os pesquisadores descreveram como um ataque de reconhecimento.
Isso é uma mudança significativa nas táticas, considerando que os ataques anteriormente concentravam-se em organizações da América Latina e Europa, sendo implantados para comprometer roteadores VPN DrayTek Vigor de classe empresarial usados por empresas de médio porte para conexão remota às redes corporativas.
No entanto, como observado pelos Black Lotus Labs da Lumen, os esforços de reconhecimento da campanha deram uma reviravolta inesperada entre meados de junho e agosto.
Um sistema de aquisição militar dos EUA também foi alvo, com organizações baseadas em Taiwan sendo especificamente visadas.
Amostras de HiatusRAT foram recompiladas para atender a várias arquiteturas, desde Arm, Intel 80386 e x86-64 até MIPS, MIPS64 e i386, e hospedadas em servidores privados virtuais (VPSs) recém-adquiridos.
Um desses nós VPS foi utilizado em uma operação de transferência de dados com um servidor militar dos EUA designado para propostas de contratos e submissões.
A afiliação do site com propostas de contrato sugere que os atacantes podem estar procurando informações publicamente acessíveis sobre requisitos militares ou tentando encontrar informações sobre organizações afiliadas à Base Industrial de Defesa (DIB).
"Suspeitamos que esse ator estava procurando recursos publicamente disponíveis relacionados a contratos militares atuais e futuros", disse o Black Lotus Labs da Lumen.
"Dado que este site estava associado a propostas de contrato, suspeitamos que o objetivo era obter informações publicamente disponíveis sobre requisitos militares e pesquisar organizações envolvidas na Base Industrial de Defesa (DIB), potencialmente para segmentação subsequente."
Esta campanha segue uma série anterior de ataques em que mais de cem empresas, principalmente da Europa, América do Norte e América do Sul, foram infectadas pelo HiatusRAT para criar uma rede de proxy encoberta.
O malware é usado principalmente para instalar payloads adicionais em dispositivos infectados e converter os sistemas comprometidos em proxies SOCKS5 para comunicação com servidores de comando e controle.
"Apesar da divulgação prévia de ferramentas e capacidades, o ator da ameaça deu os mais ínfimos passos para trocar os servidores de payloads existentes e prosseguiu com suas operações, sem sequer tentar reconfigurar sua infraestrutura C2", disse Lumen.
Como a Lumen destaca, essa mudança na coleta de informações e preferências de segmentação está alinhada com os interesses estratégicos chineses, uma conexão enfatizada pela avaliação anual de ameaças ODNI de 2023.
Organizações dos EUA também foram recentemente alvo de ataques vinculados a outros grupos de ameaças apoiados pela China, incluindo Volt Typhoon e Storm-0558.
"Suspeitamos que o cluster HiatusRAT sirva como mais um exemplo de artifício que poderia ser aplicado contra a Base Industrial de Defesa dos EUA com uma sensação de impunidade.
Recomendamos que os contratados de defesa exerçam cautela e monitorizem seus dispositivos de rede para a presença do HiatusRAT", concluiu a Lumen.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...