Nuevo malware está infectando enrutadores para robar datos y espionaje

Una campaña de hacking en curso llamada ‘Hiatus’ está atacando a los modelos de enrutador DrayTek Vigor 2960 y 3900 para robar datos de las víctimas y construir una red proxy encubierta.

Los dispositivos DrayTek Vigor son enrutadores VPN de clase empresarial utilizados por organizaciones pequeñas y medianas para la conectividad remota a redes corporativas.

La nueva campaña de hacking, que comenzó en julio de 2022 y aún está en curso, se basa en tres componentes. Específicamente, un script bash malicioso, un malware llamado “HiatusRAT” y el legítimo ‘ tcpdump’, que se usa para capturar el tráfico de red que fluye a través del enrutador.

El componente HiatusRAT es el aspecto más interesante, que da nombre a la campaña. La herramienta se usa para descargar payloads adicionales, ejecutar comandos en el dispositivo vulnerado y convertir el dispositivo en un proxy SOCKS5 para pasar comandos y controlar el tráfico del servidor.

La campaña fue descubierta por Black Lotus Labs de Lumen, quienes informaron haber visto al menos cien empresas infectadas por HiatusRAT. Las empresas afectadas están ubicadas principalmente en Europa, América del Norte y América del Sur.

Los ataques de Hiatus

En este momento, los investigadores no pueden determinar cómo se comprometieron inicialmente los enrutadores DrayTek. Sin embargo, una vez que los atacantes obtienen acceso a los dispositivos, implementan un script bash que descarga tres componentes en el enrutador: HiatusRAT y la utilidad tcpdump legítima.

El script primero descarga HiatusRAT en ‘/database/.updata‘ y lo ejecuta. Esto hace que el malware comience a escuchar en el puerto 8816 y, si ya hay un proceso ejecutándose en ese puerto, lo elimina primero.

A continuación, recopila la siguiente información del dispositivo vulnerado:

• Datos del sistema: dirección MAC, versión del kernel, arquitectura del sistema, versión del firmware
• Datos de red: dirección IP del enrutador, dirección IP local, MAC de dispositivos en LAN adyacente
• Datos del sistema de archivos: puntos de montaje, ubicaciones de ruta a nivel de directorio, tipo de sistema de archivos
• Datos de proceso: nombres de proceso, ID, UID y argumentos

HiatusRAT también envía un POST de aviso al servidor de comando y control (C2) cada 8 horas para ayudar al atacante a rastrear el estado del enrutador comprometido.

El análisis de ingeniería inversa de Black Lotus Labs reveló las siguientes características de malware:

• config: cargar nueva configuración desde el C2
• shell: genera un shell remoto en el dispositivo infectado
• file: leer, eliminar o exfiltrar archivos al C2
• executor: busca y ejecuta un archivo desde el C2
• script : ejecutar un script desde el C2
• tcp_forward: transmite cualquier conjunto de datos TCP al puerto de escucha del host a una ubicación de reenvío
• socks5 : configura un proxy SOCKS v5 en el enrutador vulnerado
• quit: detiene la ejecución del malware

Malware sigiloso

El propósito del proxy SOCKS es reenviar datos de otras máquinas infectadas a través del enrutador vulnerado, ofuscando el tráfico de red e imitando el comportamiento legítimo.

El script bash también instala una herramienta de captura de paquetes que escucha el tráfico de red en los puertos TCP asociados con los servidores de correo y las conexiones FTP.

Los puertos monitoreados son el puerto 21 para FTP, el puerto 25 para SMTP, el puerto 110 lo usa POP3 y el puerto 143 está asociado con el protocolo IMAP. Como la comunicación a través de estos puertos no está cifrada, los atacantes podrían robar datos confidenciales, incluido el contenido de los correos electrónicos, las credenciales y el contenido de los archivos cargados y descargados.

Por lo tanto, el atacante tiene como objetivo capturar información confidencial transmitida a través del enrutador comprometido.

“Una vez que los datos de captura de este paquete alcanzan una cierta longitud de archivo, se envían al “y suben al C2″ ubicado en 46.8.113[.]227 junto con información sobre el enrutador host”. 

“Esto permite que los atacantes capturen pasivamente el tráfico de los correos electrónicos que atraviesan el enrutador y parte del tráfico de transferencia de archivos”. 

“Este tipo de ataque demuestra que cualquier persona con un enrutador que use Internet puede ser potencialmente un objetivo. Sospechamos que los atacantes continuarán utilizando múltiples activos comprometidos en conjunto para evitar la detección”.

Informe de Black Lotus

Campaña pequeña pero efectiva

La campaña Hiatus es de pequeña escala, pero aun así puede impactar gravemente a las víctimas, potencialmente robando credenciales de correo electrónico y FTP para un mayor acceso a la red. Los investigadores de Lumen creen que es probable que los atacantes mantengan deliberadamente un pequeño volumen de ataques para evadir la detección.

Los escaneos de Black Lotus revelaron que, a mediados de febrero de 2023, alrededor de 4100 enrutadores DrayTek vulnerables estaban expuestos en Internet. Por lo tanto, comprometer solo el 2.4% indica manierismo.

Finalmente, la capacidad de captura de paquetes de HiatusRAT debería servir como una importante llamada de atención para cualquiera que aún envíe correo electrónico que no esté encriptado. En los últimos años, los servicios de correo electrónico han mejorado en la configuración automática de cuentas para usar protocolos como SSL/TLS en el puerto 993 o STARTTLS en el puerto 143. Cualquiera que todavía envíe correos electrónicos en texto plano probablemente se arrepentirá más temprano que tarde.

También es una buena idea recordar que los enrutadores son computadoras conectadas a Internet y, como tales, requieren atención regular para garantizar que se cumplan las actualizaciones y otras medidas. Por ejemplo, cambiar todas las contraseñas predeterminadas.