Xuất hiện malware HiatusRAT mới nhắm vào router doanh nghiệp

Một chiến dịch phần mềm độc hại mới, được gọi là "Hiatus", đang nhắm mục tiêu vào các router của doanh nghiệp nhỏ để đánh cắp dữ liệu và theo dõi nạn nhân.

• Phát hiện chiến dịch mã độc Android có nhắm đến người dùng Việt Nam, đã đánh cắp được hơn 300.000 thông tin tài khoản Facebook

Chiến dịch malware "Hiatus" mới tấn công router doanh nghiệp

Một chiến dịch phần mềm độc hại mới, được đặt tên là "Hiatus" đang nhắm mục tiêu các router dành cho doanh nghiệp nhỏ thông qua việc sử dụng phần mềm độc hại HiatiusRAT.

Vào ngày 6 tháng 3 năm 2023, công ty nghiên cứu Lumen đã xuất bản một bài đăng trên blog thảo luận về chiến dịch độc hại này. Bài đăng trên blog của Lumen tuyên bố rằng "Lumen Black Lotus Labs đã xác định một chiến dịch khác chưa từng thấy trước đó liên quan đến các router bị xâm phạm".

HiatusRAT là một loại phần mềm độc hại được gọi là Remote Access Trojan (RAT). Remote Access Trojan được tội phạm mạng sử dụng để giành quyền truy cập và kiểm soát từ xa thiết bị mục tiêu. Phiên bản mới nhất của phần mềm độc hại HiatusRAT dường như đã được sử dụng từ tháng 7 năm 2022.

Bài đăng trên blog của Lumen cũng tuyên bố rằng "HiatusRAT cho phép tác nhân đe dọa tương tác từ xa với hệ thống và nó sử dụng chức năng prebuilt – một số chức năng trong đó rất bất thường – để chuyển đổi máy bị xâm nhập thành proxy bí mật cho tác nhân đe dọa".

Sử dụng tiện ích dòng lệnh "tcpdump", HiatusRAT có thể chặn lưu lượng mạng đi qua router được nhắm mục tiêu, cho phép đánh cắp dữ liệu. Lumen cũng suy đoán rằng những kẻ xấu tham gia vào cuộc tấn công này nhằm mục đích thiết lập một mạng proxy bí mật thông qua cuộc tấn công.

HiatusRAT đang nhắm mục tiêu các loại router cụ thể

Phần mềm độc hại HiatusRAT đang được sử dụng để tấn công các router DrayTek Vigor VPN cũ, cụ thể là các model 2690 và 3900 chạy kiến trúc i386. Đây là những router băng thông cao được các doanh nghiệp sử dụng để hỗ trợ VPN cho nhân viên làm việc từ xa.

Các mô hình router này thường được sử dụng bởi các chủ doanh nghiệp vừa và nhỏ, những người có nguy cơ trở thành mục tiêu cụ thể trong chiến dịch này. Các nhà nghiên cứu hiện chưa biết làm thế nào những router DrayTek Vigor này bị xâm nhập vào thời điểm viết bài.

Hơn 4.000 thiết được phát hiện là dễ bị tấn công bởi chiến dịch phần mềm độc hại này vào giữa tháng 2, nghĩa là nhiều doanh nghiệp có nguy cơ bị tấn công.

Những kẻ tấn công chỉ nhắm mục tiêu vào một vài router DrayTek

Trong số tất cả các router DrayTek 2690 và 3900 được kết nối với Internet hiện nay, Lumen đã báo cáo tỷ lệ lây nhiễm chỉ là 2%.

Điều này cho thấy rằng những kẻ tấn công đang cố gắng để lại dấu vết ở mức tối thiểu nhằm hạn chế tiếp xúc và tránh bị phát hiện. Lumen cũng gợi ý trong bài đăng trên blog nói trên rằng chiến thuật này cũng đang được những kẻ tấn công sử dụng để "duy trì các điểm hiện diện quan trọng".

HiatusRAT tạo ra rủi ro lớn cho doanh nghiệp

Tại thời điểm viết bài này, HiatusRAT tạo ra rủi ro cho nhiều doanh nghiệp nhỏ, với hàng nghìn router vẫn tiếp xúc với phần mềm độc hại này. Thời gian sẽ cho biết có bao nhiêu router DrayTek bị nhắm mục tiêu thành công trong chiến dịch độc hại này.