Эти популярные VPN-маршрутизаторы взламываются для распространения вредоносных программ
7 марта 2023 г.Исследователи кибербезопасности из Black Lotus Labs недавно обнаружили новую кампанию, в которой используются уязвимые бизнес-маршрутизаторы маршрутизаторы для кражи конфиденциальных данных и создания скрытой прокси-сети.
Как сообщает BleepingComputer исследователи обнаружили, что две модели маршрутизаторов DrayTek Vigor — 2960 и 3900 — используются для распространения части вредоносное ПО под названием HiatusRAT.
Этот троян удаленного доступа используется для загрузки дополнительных вредоносных полезных нагрузок, которые выполняют различные команды на зараженном конечная точка и превратить устройство в прокси-сервер SOCKS5 для передачи трафика сервера управления и контроля.
Кража данных и запуск файлов
В отчете говорится, что большинство жертв находятся в Европе, Северной и Южной Америке. Исследователи не уверены, какова начальная точка контакта зараженных устройств.
Тем не менее, они перепроектировали вредоносное ПО и обнаружили, что оно крадет системные данные (MAC-адрес, версию ядра и т. д.), сетевые данные (IP-адреса), данные файловой системы и данные процессов (имена процессов, идентификаторы, UID и др.). Кроме того, RAT каждые восемь часов отправляет на сервер POST-сообщения, которые злоумышленники используют для мониторинга зараженного устройства.
Кроме того, он может читать, удалять и загружать файлы, загружать и запускать программы, пересылать любые данные TCP передаются на порт прослушивания хоста и при необходимости останавливаются.
Исследователи говорят, что все это необходимо злоумышленникам, чтобы иметь возможность перехватывать конфиденциальные данные, проходящие через маршрутизатор.
«После того, как данные захвата пакета достигают определенной длины файла, они отправляются на «выгрузку C2», расположенную по адресу 46.8.113[.]227, вместе с информацией о хост-маршрутизаторе», — пояснили исследователи. «Это позволяет злоумышленнику пассивно перехватывать трафик электронной почты, проходящий через маршрутизатор, и некоторый трафик передачи файлов».
Несмотря на то, что многие фирмы заражены Hiatus, его влияние все же может быть значительным, говорят исследователи. хакеры могут украсть учетные данные электронной почты и FTP.
- Это лучшие маршрутизаторы Wi-Fi прямо сейчас
Через: BleepingComputer
Оригинал