Kampanye peretasan yang sedang berlangsung yang disebut ‘Hiatus’ menargetkan model router DrayTek Vigor 2960 dan 3900 untuk mencuri data dari korban dan membangun jaringan proxy rahasia.
Perangkat DrayTek Vigor adalah router VPN kelas bisnis yang digunakan oleh organisasi kecil hingga menengah untuk konektivitas jarak jauh ke jaringan perusahaan.
Kampanye peretasan baru, yang dimulai pada Juli 2022 dan masih berlangsung, bergantung pada tiga komponen: skrip bash berbahaya, malware bernama “HiatusRAT”, dan ‘tcpdump,’ digunakan untuk menangkap lalu lintas jaringan yang mengalir melalui router.
Komponen HiatusRAT adalah aspek yang paling menarik, memberikan nama kampanye tersebut. Alat ini digunakan untuk mengunduh muatan tambahan, menjalankan perintah pada perangkat yang dilanggar, dan mengubah perangkat menjadi proxy SOCKS5 untuk meneruskan perintah dan mengontrol lalu lintas server.
Kampanye tersebut ditemukan oleh Lumen’s Black Lotus Labs, yang melaporkan melihat setidaknya seratus bisnis terinfeksi oleh HiatusRAT, terutama di Eropa, Amerika Utara, dan Amerika Selatan.
Hiatus menyerang
Saat ini, para peneliti tidak dapat menentukan bagaimana router DrayTek awalnya disusupi. Namun, begitu pelaku ancaman mendapatkan akses ke perangkat, mereka menerapkan skrip bash yang mengunduh tiga komponen ke router — HiatusRAT dan utilitas tcpdump yang sah.
Sumber: BleepingComputer
Skrip pertama-tama mengunduh HiatusRAT ke ‘/database/.updata’ dan mengeksekusinya, menyebabkan malware mulai mendengarkan di port 8816, dan jika sudah ada proses yang berjalan di port tersebut, ia mematikannya terlebih dahulu.
Selanjutnya, ia mengumpulkan informasi berikut dari perangkat yang dilanggar:
- Data sistem: alamat MAC, versi kernel, arsitektur sistem, versi firmware
- Data jaringan: alamat IP router, alamat IP lokal, MAC perangkat di LAN yang berdekatan
- Data sistem file: titik pemasangan, lokasi jalur tingkat direktori, tipe sistem file
- Data proses: nama proses, ID, UID, dan argumen
HiatusRAT juga mengirimkan POST detak jantung ke C2 setiap 8 jam untuk membantu pelaku ancaman melacak status router yang disusupi.
Analisis reverse engineer Black Lotus Labs mengungkapkan fitur malware berikut:
- config – memuat konfigurasi baru dari C2
- kerang – menelurkan shell jarak jauh pada perangkat yang terinfeksi
- mengajukan – baca, hapus, atau ekstrak file ke C2
- pelaksana – ambil dan jalankan file dari C2
- naskah – jalankan skrip dari C2
- tcp_forward – mengirimkan set data TCP apa pun ke port pendengar host ke lokasi penerusan
- kaus kaki5 – mengatur proxy SOCKS v5 pada router yang dilanggar
- berhenti – hentikan eksekusi malware
Tujuan proxy SOCKS adalah untuk meneruskan data dari mesin lain yang terinfeksi melalui router yang dilanggar, mengaburkan lalu lintas jaringan, dan meniru perilaku yang sah.
Skrip bash juga akan menginstal alat penangkap paket yang mendengarkan lalu lintas jaringan ke port TCP yang terkait dengan server email dan koneksi FTP.
Port yang dipantau adalah port 21 untuk FTP, port 25 untuk SMTP, port 110 digunakan oleh POP3, dan port 143 dikaitkan dengan protokol IMAP. Karena komunikasi melalui port ini tidak terenkripsi, pelaku ancaman dapat mencuri data sensitif, termasuk konten email, kredensial, dan konten file yang diunggah dan diunduh.
Oleh karena itu, penyerang bertujuan untuk menangkap informasi sensitif yang dikirimkan melalui router yang disusupi.
“Setelah data pengambilan paket ini mencapai panjang file tertentu, itu dikirim ke “unggah C2″ yang terletak di 46.8.113[.]227 bersama dengan informasi tentang router host,” tulis laporan Black Lotus.
“Ini memungkinkan pelaku ancaman untuk secara pasif menangkap lalu lintas email yang melintasi router dan beberapa lalu lintas transfer file.”
Kampanye Hiatus berskala kecil, tetapi masih dapat berdampak parah pada korban, berpotensi mencuri email dan kredensial FTP untuk akses lebih lanjut ke jaringan. Peneliti Lumen percaya kemungkinan pelaku ancaman sengaja mempertahankan volume serangan kecil untuk menghindari deteksi.
Pemindaian Black Lotus mengungkapkan bahwa pada pertengahan Februari 2023, sekitar 4.100 router DrayTek yang rentan terekspos di internet, jadi kompromi hanya 2,4% yang menunjukkan tingkah laku.
