Dans une nouvelle campagne de malware HiatusRAT, des acteurs malveillants ont ciblé un serveur appartenant au ministère américain de la Défense dans ce que les chercheurs ont décrit comme une attaque de reconnaissance.
Il s’agit d’un changement de tactique important, étant donné que les attaques se concentraient auparavant sur des organisations d’Amérique latine et d’Europe, déployées pour compromettre les routeurs VPN DrayTek Vigor de classe affaires utilisés par les entreprises de taille moyenne pour se connecter à distance aux réseaux d’entreprise.
Cependant, comme l’a observé Black Lotus Labs de Lumen, les efforts de reconnaissance de la campagne ont pris une tournure inattendue entre la mi-juin et le mois d’août. Un système d’approvisionnement militaire américain a également été visé, les organisations basées à Taiwan étant également pointées du doigt.
Les échantillons HiatusRAT ont été recompilés pour répondre à diverses architectures allant d’Arm, Intel 80386 et x86-64 à MIPS, MIPS64 et i386) et hébergés sur des serveurs privés virtuels (VPS) nouvellement acquis.
L’un de ces nœuds VPS a été utilisé dans une opération de transfert de données avec un serveur militaire américain destiné aux propositions et soumissions de contrats.
L’affiliation du site Web à des propositions de contrat suggère que les attaquants pourraient rechercher des informations accessibles au public sur les besoins militaires ou essayer de trouver des informations sur les organisations affiliées à la Base industrielle de défense (DIB).
« Nous soupçonnons que cet acteur recherchait des ressources accessibles au public liées aux contrats militaires actuels et futurs », a déclaré Black Lotus Labs de Lumen.
« Étant donné que ce site Web était associé à des propositions de contrat, nous soupçonnons que l’objectif était d’obtenir des informations accessibles au public sur les besoins militaires et de rechercher des organisations impliquées dans la base industrielle de défense (DIB), potentiellement pour un ciblage ultérieur. »
Cette campagne fait suite à une précédente série d’attaques au cours desquelles plus d’une centaine d’entreprises, principalement d’Europe, d’Amérique du Nord et d’Amérique du Sud, ont été infectées par HiatusRAT pour créer un réseau proxy secret.
Le malware est principalement utilisé pour installer des charges utiles supplémentaires sur les appareils infectés et convertir les systèmes compromis en proxys SOCKS5 pour la communication avec le serveur de commande et de contrôle.
« Malgré les révélations antérieures d’outils et de capacités, l’acteur malveillant a pris les mesures les plus mineures pour remplacer les serveurs de charge utile existants et a poursuivi ses opérations, sans même tenter de reconfigurer son infrastructure C2 », a déclaré Lumen.
Comme le souligne Lumen, ce changement dans la collecte d’informations et les préférences de ciblage s’aligne sur les intérêts stratégiques chinois, un lien souligné par l’évaluation annuelle des menaces de l’ODNI 2023.
Des organisations américaines ont également été récemment la cible d’attaques liées à d’autres groupes menaçants soutenus par la Chine, notamment Volt Typhoon et Storm-0558.
« Nous soupçonnons que le cluster HiatusRAT constitue un autre exemple d’artisanat qui pourrait être appliqué contre la base industrielle de défense américaine en toute impunité. Nous recommandons aux entrepreneurs de la défense de faire preuve de prudence et de surveiller leurs appareils réseau pour détecter la présence de HiatusRAT », a conclu Lumen.