Uma campanha de hacking chamada 'Hiatus' está mirando em modelos de roteadores DrayTek Vigor 2960 e 3900 para roubar dados das vítimas e construir uma rede proxy encoberta.
Os dispositivos DrayTek Vigor são roteadores VPN de classe empresarial usados por organizações de pequeno e médio porte para conectividade remota às redes corporativas.
A nova campanha de hacking, que começou em julho de 2022 e ainda está em andamento, depende de três componentes: um script bash malicioso, um malware chamado "HiatusRAT" e o 'tcpdump' legítimo, usado para capturar o tráfego de rede que flui pelo roteador.
O componente HiatusRAT é o aspecto mais interessante, dando à campanha seu nome.
A ferramenta é usada para baixar payloads adicionais, executar comandos no dispositivo comprometido e converter o dispositivo em um proxy SOCKS5 para passar o tráfego do servidor de comando e controle.
A campanha foi descoberta pelo Black Lotus Labs da Lumen, que relatou ter visto pelo menos cem empresas infectadas pelo HiatusRAT, principalmente na Europa, América do Norte e América do Sul.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...