Hakeri odgovorni za razvoj HiatusRAT malware-a nastavili su s radom nakon perioda neaktivnosti pokrenuvši novi talas napada. Ovi napadi, primećeni od sredine juna do avgusta, pokrenuti su protiv organizacija na Tajvanu, kao i na sistem nabavke koji koristi američka vojska.
Istraživači iz Black Lotus Lab-a tvrde da se taktike i tehnike razlikuju od prethodnog fokusa grupe na Latinsku Ameriku i Evropu, gdje je više od 100 rubnih mrežnih uređaja korišteno za tajno prikupljanje prometa i djelovanje kao prikrivena C2 mreža.
Šta je novo?
Od juna do avgusta, Black Lotus Labs je posmatrao više novosastavljenih verzija malware-a HiatusRAT. Pronašli su unaprijed izgrađene binarne datoteke koje ciljaju na nove arhitekture i povezale ove uzorke sa svojim prethodnim izvještajem.
- Ovaj put, HiatusRAT korisni tereti su sada bili hostovani na različitim nabavljenim VPS-ovima.
- Dalja analiza je pokazala da preko 91% ulaznih konekcija sa malicioznim datotekama potiče iz Tajvana, dajući prednost rubnim uređajima koje proizvodi Ruckus.
- Pogođene su razne tajvanske organizacije, uključujući proizvođače poluprovodnika i organizaciju opštinske vlade.
- Iako su na meti i proizvođači poluprovodnika i hemikalija, hakeri su navodno imali za cilj da pronjuškaju vojne ugovore.
Šta to ukazuje?
Odvažnost hakera je evidentna u njihovom zanemarivanju prethodnih otkrivanja i njihovim minimalnim naporima da promijene svoje payload servere.
- Osim toga, ovo naglašava izazove suočavanja s rubnim i IoT-baziranim malware-om jer trenutno ne postoji univerzalni mehanizam za čišćenje ovih uređaja.
- Štaviše, pomak u ciljevima ukazuje na potencijalni strateški pomak hakera prema kineskim operacijama protiv entiteta sa sjedištem u SAD.
Završne riječi
MOK-ovi iz ove kampanje su dostupni organizacijama da proaktivno preduzmu mjere u suzbijanju takvih prijetnji. Kako istraživači nastavljaju da prate novu infrastrukturu i taktike, oni su predložili oslanjanje na najnovije kriptografske protokole, kao što su SSL i TLS, kako bi se zaštitili podaci u tranzitu. Nadalje, korisnici koji sami upravljaju svojim ruterima trebali bi se pridržavati preporučenih praksi, često provjeravati svoje mreže, ponovo pokretati rutere i primjenjivati sigurnosne zakrpe i nadogradnje.