มัลแวร์ HiatusRAT กลับมาอีกครั้ง โดยมุ่งเป้าไปที่บริษัทในไต้หวัน และกองทัพสหรัฐฯ

ภัยคุกคามที่อยู่เบื้องหลัง มัลแวร์ HiatusRAT ได้กลับมาพร้อมการโจมตีและกำหนดเป้าหมายมุ่งเป้าไปที่องค์กรในไต้หวันและระบบการจัดซื้อจัดจ้างของกองทัพสหรัฐฯ
Lumen Black Lotus Labs กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่านอกจากตัวอย่างมัลแวร์ที่สร้างขึ้นใหม่สำหรับสถาปัตยกรรมที่แตกต่างกันแล้ว ยังมีการกล่าวว่ามัลแวร์เหล่านี้ได้ถูกฝังบนเซิร์ฟเวอร์ VPSs ใหม่ด้วย
บริษัทรักษาความปลอดภัยทางไซเบอร์อธิบายการกระทำนี้ว่า "ไร้จิตสำนึก" และ "ไร้มารยาท" ซึ่งบ่งชี้ว่าไม่มีสัญญาณที่จะเบาบางลง ซึ่งขณะนี้ยังไม่สามารถระบุตัวตนและที่มาของผู้คุกคามได้
การคุกคามนี้มีเป้าหมายรวมถึงบริษัทการค้า เช่น ผู้ผลิตสารเคมีและ semiconductor องค์กรปกครองท้องถิ่นอย่างน้อยหนึ่งแห่งในไต้หวัน รวมถึงเซิร์ฟเวอร์ของกระทรวงกลาโหมสหรัฐฯ (DoD) ที่เกี่ยวข้องกับการรับส่งข้อเสนอสำหรับสัญญาการป้องกัน
HiatusRAT ได้รับการเปิดเผยครั้งแรกโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ในเดือนมีนาคม 2566 ว่ามีเป้าหมายเป็นเราเตอร์ระดับธุรกิจเพื่อสอดแนมเหยื่อที่อาศัยอยู่ในละตินอเมริกาและยุโรปเป็นหลัก ซึ่งเป็นส่วนหนึ่งของแคมเปญที่เริ่มในเดือนกรกฎาคม 2565
อุปกรณ์เครือข่าย Edge มากถึง 100 เครื่องทั่วโลกติดไวรัสเพื่อรวบรวมทราฟฟิกและแปลงเป็นเครือข่ายพร็อกซีของโครงสร้าง C2

การโจมตีล่าสุดที่ถูกพบตั้งแต่กลางเดือนมิถุนายน ถึงเดือนสิงหาคม 2023 มีการใช้ไบนารี HiatusRAT ที่สร้างไว้ล่วงหน้าซึ่งออกแบบมาโดยเฉพาะสำหรับสถาปัตยกรรม Arm, Intel 80386 และ x86-64 ควบคู่ไปกับ MIPS, MIPS64 และ i386
จากการวิเคราะห์การรับส่งข้อมูล เพื่อตรวจสอบการเชื่อมต่อกับเซิร์ฟเวอร์ของมัลแวร์พบว่า มากกว่า 91% ของการเชื่อมต่อขาเข้ามาจากไต้หวัน และดูเหมือนว่าจะมาจากอุปกรณ์ Edge ที่ผลิตโดย Ruckus
โครงสร้างของ HiatusRAT ประกอบด้วยเซิร์ฟเวอร์สำหรับเพย์โหลด และเซิร์ฟเวอร์ที่ใช้ในการสแกนหาช่องโหว่ ซึ่งใช้ในการเชื่อมต่อโดยตรงกับเครือข่ายของเหยื่อ
ผู้โจมตีได้รับการระบุว่าใช้ที่อยู่ IP ที่แตกต่างกัน 2 IP คือ 207.246.80[.]240 และ 45.63.70[.]57 จากการเชื่อมต่อกับเซิร์ฟเวอร์ของ DoD ในวันที่ 13 มิถุนายนเป็นระยะเวลาประมาณ 2 ชั่วโมง ซึ่งมีการรับส่งข้อมูลประมาณ 11 MB ในช่วงเวลาดังกล่าว
อย่างไรก็ตาม ยังไม่มีความชัดเจนว่าเป้าหมายที่แท้จริงคืออะไร แต่คาดว่าผู้โจมตีอาจกำลังมองหาข้อมูลที่เกี่ยวข้องกับสัญญาทางทหารที่เปิดเผยต่อสาธารณะในปัจจุบัน และอนาคตสำหรับการกำหนดเป้าหมายในอนาคต
การกำหนดเป้าหมายไปยังเราเตอร์ขององค์กรภาครัฐ ได้กลายเป็นหนึ่งในรูปแบบการโจมตีในช่วงไม่กี่เดือนที่ผ่านมา โดยผู้โจมตีที่เกี่ยวข้องกับรัฐบาลจีน มีการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในอุปกรณ์ Fortinet และ SonicWall ที่ยังไม่ได้อัปเดตแพตซ์ เพื่อแฝงตัวอยู่บนระบบของเหยื่อ
บริษัทระบุว่า “แม้จะมีการเปิดเผยเครื่องมือ และความสามารถออกมาก่อนหน้านี้ แต่ผู้โจมตีก็ใช้ขั้นตอนเล็กน้อยในการเปลี่ยนเซิร์ฟเวอร์สำหรับเพย์โหลดที่มีอยู่ และดำเนินการได้ต่อไปโดยไม่ต้องมีการกำหนดค่า C2 Server ใหม่ด้วยซ้ำ”

ที่มา : thehackernews.com