I Black Lotus Labs di Lumen hanno scoperto una nuova campagna malware contro i router di DrayTek. Ignoti cybercriminali hanno installato HiatusRAT e uno script in numerosi modelli 2960 e 3900 con lo scopo di intercettare il traffico e trasformare i dispositivi di rete in bot. Le aziende colpite si trovano principalmente in Europa, Nord America e Sud America.
HiatusRAT: sorveglianza remota
I router DrayTek 2960 e 3900 sono utilizzati nelle PMI per fornire l’accesso ai lavoratori tramite VPN. Gli esperti di Lumen non hanno individuato il metodo usato per infettare i dispositivi, ma hanno scoperto i malware sfruttati e lo scopo della campagna, ovvero la raccolta di dati riservati, l’esecuzione di comandi arbitrari, il download di altri payload e l’uso dei router come proxy SOCKS5.
La nuova campagna sfrutta tre componenti: uno script bash, HiatusRAT e una variante di tcpdump. Lo script scarica ed esegue gli altri due file. La versione modificata di tcpdump viene usata per catturare i pacchetti e quindi monitorare il traffico sulle porte associate all’invio/ricezione delle email e al trasferimento dei file.
Come si deduce dal nome, HiatusRAT è un Remote Access Trojan. Viene eseguito sulla porta 8816 e raccoglie diverse informazioni sul router (indirizzo MAC, versione del kernel, architettura e versione del firmware), indirizzi MAC e IP di tutti i dispositivi collegati, file system, elenco dei processi. Tutti i dati sono inviati al server C2 (command and control) ogni 8 ore.
Oltre a sfruttare le classiche funzionalità di un RAT, HiatusRAT può impostare un proxy SOCKS5 e trasformare il router in un bot che nasconde il traffico di rete. In base all’analisi di Lumen, attualmente sono stati colpiti circa 100 router, ma il numero potrebbe aumentare nelle prossime settimane.