Une campagne de piratage en cours appelée « Hiatus » cible les modèles de routeur DrayTek Vigor 2960 et 3900 pour voler les données des victimes et construire un réseau proxy secret.

Les appareils DrayTek Vigor sont des routeurs VPN de classe entreprise utilisés par les petites et moyennes entreprises pour la connectivité à distance aux réseaux d’entreprise.

La nouvelle campagne de piratage, qui a débuté en juillet 2022 et est toujours en cours, repose sur trois composants : un script bash malveillant, un logiciel malveillant nommé « HiatusRAT » et le « tcpdump » légitime utilisé pour capturer le trafic réseau circulant sur le routeur.

Le composant HiatusRAT est l’aspect le plus intéressant, donnant son nom à la campagne. L’outil est utilisé pour télécharger des charges utiles supplémentaires, exécuter des commandes sur l’appareil piraté et convertir l’appareil en un proxy SOCKS5 pour transmettre les commandes et contrôler le trafic du serveur.

La campagne a été découverte par les Black Lotus Labs de Lumen, qui rapportent avoir vu au moins une centaine d’entreprises infectées par HiatusRAT, principalement en Europe, en Amérique du Nord et en Amérique du Sud.

Victimes du HiatusRAT jusqu’au 20 février 2023

Les attaques du Hiatus
À l’heure actuelle, les chercheurs ne sont pas en mesure de déterminer comment les routeurs DrayTek ont été initialement compromis. Cependant, une fois que les pirates ont accès aux appareils, ils déploient un script bash qui télécharge trois composants sur le routeur : le HiatusRAT et l’utilitaire légitime tcpdump.

Script bash Hiatus pour télécharger et exécuter des charges utiles sur le routeur

Le script télécharge d’abord le HiatusRAT sur ‘/database/.updata’ et l’exécute, provoquant l’écoute du malware sur le port 8816, et s’il y a déjà un processus en cours d’exécution sur ce port, il le tue en premier.

Ensuite, il collecte les informations suivantes à partir de l’appareil piraté :

  • Données système : adresse MAC, version du noyau, architecture du système, version du micrologiciel
  • Données de mise en réseau : adresse IP du routeur, adresse IP locale, MAC des appareils sur le réseau local adjacent
  • Données du système de fichiers : points de montage, emplacements des chemins d’accès au niveau du répertoire, type de système de fichiers
  • Données de processus : noms de processus, ID, UID et arguments

HiatusRAT envoie également un message POST de pulsation au C2 toutes les 8 heures pour aider l’auteur de la menace à suivre l’état du routeur compromis.

L’analyse d’ingénierie inverse de Black Lotus Labs a révélé les fonctionnalités suivantes des logiciels malveillants :

  • config – charger une nouvelle configuration à partir du C2
  • shell – génère un shell distant sur l’appareil infecté
  • fichier – lire, supprimer ou exfiltrer des fichiers vers le C2
  • executor – récupérer et exécuter un fichier à partir du C2
  • script – exécuter un script à partir du C2
  • tcp_forward – transmettre tout ensemble de données TCP au port d’écoute de l’hôte vers un emplacement de transfert
  • socks5 – configurez un proxy SOCKS v5 sur le routeur piraté
  • quitter – arrêter l’exécution du logiciel malveillant

Le but du proxy SOCKS est de transférer les données d’autres machines infectées via le routeur piraté, en masquant le trafic réseau et en imitant un comportement légitime.

Diagramme de transmission de données

Le script bash installera également un outil de capture de paquets qui écoute le trafic réseau vers les ports TCP associés aux serveurs de messagerie et aux connexions FTP.

Les ports surveillés sont le port 21 pour FTP, le port 25 pour SMTP, le port 110 est utilisé par POP3 et le port 143 est associé au protocole IMAP. Comme la communication sur ces ports n’est pas chiffrée, les acteurs de la menace pourraient voler des données sensibles, y compris le contenu des e-mails, les informations d’identification et le contenu des fichiers téléchargés et téléchargés.

Par conséquent, l’attaquant vise à capturer les informations sensibles transmises via le routeur compromis.

« Une fois que ces données de capture de paquets atteignent une certaine longueur de fichier, elles sont envoyées au » téléchargement C2 « situé à 46.8.113[.]227 avec des informations sur le routeur hôte », lit le rapport Black Lotus.

« Cela permet à l’acteur de la menace de capturer passivement le trafic de messagerie qui a traversé le routeur et une partie du trafic de transfert de fichiers. »

Diagramme de vol de données

La campagne Hiatus est de petite envergure, mais elle peut encore avoir un impact important sur les victimes, en volant potentiellement les identifiants de messagerie et FTP pour un accès ultérieur au réseau. Les chercheurs de Lumen pensent qu’il est probable que l’auteur de la menace maintienne délibérément un petit volume d’attaque pour échapper à la détection.

Les analyses de Black Lotus ont révélé qu’à la mi-février 2023, environ 4 100 routeurs DrayTek vulnérables étaient exposés sur Internet, donc compromettre seulement 2,4 % indique un maniérisme.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *