अंतराल अभियान साइबर जासूसी, प्रॉक्सी नियंत्रण के लिए ड्रैटेक राउटर को संक्रमित करता है

दुनिया भर में मध्यम आकार के व्यवसायों में DrayTek राउटर को लक्षित करते हुए उपन्यास मैलवेयर की विशेषता वाला एक साइबर-जासूसी अभियान उजागर किया गया है।

अधिकांश स्पाइवेयर प्रयासों के विपरीत, लुमेन ब्लैक लोटस लैब्स द्वारा "हायटस" करार दिए गए इस अभियान के दोहरे लक्ष्य हैं: लक्षित हमलों में डेटा चोरी करना और गुप्त कमांड-एंड-कंट्रोल (C2) बुनियादी ढांचे का हिस्सा बनने के लिए राउटर को सह-ऑप्ट करना। हार्ड-टू-ट्रेस प्रॉक्सी अभियान बढ़ाना।

इस सप्ताह के एक विश्लेषण के अनुसार, थ्रेट एक्टर्स i2960 आर्किटेक्चर चलाने वाले DrayTek Vigor मॉडल 3900 और 368 को लक्षित करने के लिए ज्ञात कमजोरियों का उपयोग करते हैं। ब्लैक लोटस से अंतराल. एक बार जब हमलावर समझौता कर लेते हैं, तो वे राउटर पर दो अद्वितीय, दुर्भावनापूर्ण बायनेरिज़ लगा सकते हैं। 

पहला टीसीपीडम्प नामक एक जासूसी उपयोगिता है, जो पीड़ित के आसन्न लैन पर ईमेल और फाइल-ट्रांसफर संचार से जुड़े बंदरगाहों पर राउटर यातायात पर नज़र रखता है। यह इस क्लियरटेक्स्ट ईमेल सामग्री को निष्क्रिय रूप से एकत्र करने की क्षमता रखता है क्योंकि यह राउटर को स्थानांतरित करता है।

रिपोर्ट के अनुसार, "अधिक स्थापित, मध्यम आकार के व्यवसाय अपने स्वयं के मेल सर्वर चलाते हैं, और कभी-कभी समर्पित इंटरनेट लाइनें होती हैं।" "ये नेटवर्क उपयोग करते हैं ड्रायटेक राउटर उनके कॉर्पोरेट नेटवर्क के प्रवेश द्वार के रूप में, जो LAN पर ईमेल सर्वर से सार्वजनिक इंटरनेट पर ट्रैफ़िक को रूट करता है।

दूसरा बाइनरी ए है रिमोट एक्सेस ट्रोजन (आरएटी) HiatusRAT कहा जाता है, जो साइबर हमलावरों को राउटर के साथ दूरस्थ रूप से बातचीत करने, फ़ाइलों को डाउनलोड करने या मनमाना आदेश चलाने की अनुमति देता है। इसमें दो सहित पूर्वनिर्मित कार्यों का एक सेट भी है प्रॉक्सी कार्य कि खतरा कर्ता एक संक्रमित हाईटस पीड़ित की मशीन के माध्यम से अन्य मैलवेयर संक्रमण समूहों को नियंत्रित करने के लिए उपयोग कर सकते हैं।

HiatusRAT के प्रॉक्सी कार्य

ब्लैक लोटस रिपोर्ट के अनुसार, दो प्रॉक्सी कमांड "हायटस पीड़ितों के माध्यम से अन्य मशीनों (जैसे अन्य आरएटी से संक्रमित) से अस्पष्ट संचार को सक्षम करने के उद्देश्य से बनाए गए हैं"।

वे हैं:

• मोज़े 5: समझौता किए गए राउटर पर SOCKS संस्करण 5 प्रॉक्सी सेट करता है।
• टीसीपी_आगे: प्रॉक्सी नियंत्रण के लिए, यह एक निर्दिष्ट लिसनिंग पोर्ट, फॉरवर्डिंग आईपी और फॉरवर्डिंग पोर्ट लेता है और किसी भी टीसीपी डेटा को अग्रेषण स्थान पर समझौता किए गए होस्ट पर लिसनिंग पोर्ट पर भेजता है। यह प्रेषक और निर्दिष्ट अग्रेषण आईपी के बीच द्विदिश संचार की अनुमति देने के लिए दो सूत्र स्थापित करता है।

लुमेन ब्लैक लोटस के प्रमुख खतरे के शोधकर्ता डैनी एडामाइटिस बताते हैं, "राउटर को SOCKS5 प्रॉक्सी डिवाइस में बदलने की क्षमता" खतरे के अभिनेता को संक्रमित राउटर के माध्यम से दुर्भावनापूर्ण, निष्क्रिय बैकडोर जैसे वेब शेल के साथ बातचीत करने की अनुमति देती है। "बैकडोर और वेब शेल के लिए संचार के रूप में एक समझौता किए गए राउटर का उपयोग करना खतरे के अभिनेताओं को भू-बाड़-आधारित रक्षा उपायों को बायपास करने और नेटवर्क-आधारित पहचान उपकरणों पर फ़्लैग होने से बचने में सक्षम बनाता है।"

टीसीपी फ़ंक्शन, इस बीच, बीकन को अग्रेषित करने या अन्य संक्रमित मशीनों पर अन्य आरएटी के साथ बातचीत करने के लिए डिज़ाइन किया गया है, जो रिपोर्ट के मुताबिक "राउटर को एक अलग डिवाइस पर मैलवेयर के लिए सीएक्सएनएनएक्स आईपी पता होने की अनुमति देगा"।

इन सबका मतलब है कि संगठनों को एक लक्ष्य के रूप में अपने मूल्य को कम नहीं आंकना चाहिए, रिपोर्ट में कहा गया है: "इंटरनेट का उपयोग करने वाला कोई भी व्यक्ति संभावित रूप से अंतराल के लिए एक लक्ष्य हो सकता है - उनका उपयोग किसी अन्य अभियान के लिए प्रॉक्सी के रूप में किया जा सकता है - भले ही इकाई जो राउटर का मालिक है, खुद को एक खुफिया लक्ष्य के रूप में नहीं देखती है।"

अंतराल पीड़ितों के विभिन्न प्रकार

अभियान असामान्य रूप से छोटा है, मुख्य रूप से यूरोप और लैटिन अमेरिका में लगभग 100 पीड़ितों को ही संक्रमित किया है।

एडमाइटिस के अनुसार, "यह वर्तमान में इंटरनेट के संपर्क में आने वाले DrayTek 2 और 2960 राउटर की कुल संख्या का लगभग 3900% है।" "इससे पता चलता है कि खतरा अभिनेता जानबूझकर अपने जोखिम को सीमित करने और उपस्थिति के महत्वपूर्ण बिंदुओं को बनाए रखने के लिए न्यूनतम पदचिह्न बनाए रख रहा है।"

जासूसी के संदर्भ में, कुछ पीड़ित "सक्षमता के लक्ष्य" हैं, शोधकर्ता कहते हैं, और इसमें आईटी सेवा और परामर्श फर्म शामिल हैं।

"हम मानते हैं कि खतरे के कारक इन संगठनों को अपने ग्राहकों के वातावरण के बारे में संवेदनशील जानकारी तक पहुंच प्राप्त करने के लिए लक्षित करते हैं," डाउनस्ट्रीम हमलों को माउंट करने के लिए स्क्रैप किए गए ईमेल संचार का उपयोग करते हुए, एडमाइटिस कहते हैं।

वह कहते हैं कि पीड़ितों के एक दूसरे समूह को डेटा चोरी के लिए प्रत्यक्ष हित का लक्ष्य माना जा सकता है, "जिसमें नगरपालिका सरकार की संस्थाएँ और ऊर्जा क्षेत्र में शामिल कुछ संगठन शामिल हैं।"

जबकि प्राथमिक पीड़ितों की संख्या कम है, डेटा चोरी का दायरा अंतराल के पीछे अपराधी के रूप में एक उन्नत लगातार खतरे का सुझाव देता है।

"इन एक्सेसों से एकत्र किए जाने वाले डेटा की मात्रा के आधार पर, यह हमें विश्वास दिलाता है कि अभिनेता अच्छी तरह से संसाधनयुक्त है और बड़ी मात्रा में डेटा को संसाधित करने में सक्षम है, जो राज्य समर्थित अभिनेता का सुझाव देता है," एडमिटिस नोट करता है।

अंतराल से क्या सीखें

व्यवसायों के लिए मुख्य बात परिधि सुरक्षा का पारंपरिक विचार है राउटर को शामिल करने के लिए अनुकूलित करने की आवश्यकता है.

"डेटा संग्रह के लिए राउटर का उपयोग करने का लाभ यह है कि वे अनियंत्रित हैं, और सभी ट्रैफ़िक उनके माध्यम से गुजरते हैं," एडमाइटिस बताते हैं। "यह विंडोज मशीनों और मेल सर्वरों के विपरीत है, जिसमें आमतौर पर एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) और एंटरप्राइज़ नेटवर्क में तैनात फ़ायरवॉल सुरक्षा होती है। निगरानी की यह कमी खतरे वाले अभिनेता को वही जानकारी एकत्र करने की अनुमति देती है जो किसी भी संपत्ति के साथ सीधे बातचीत किए बिना प्राप्त की जाएगी, जिसमें ईडीआर उत्पाद पहले से स्थापित हो सकते हैं।

खुद को बचाने के लिए, व्यवसायों को यह सुनिश्चित करने की ज़रूरत है कि राउटर "नियमित रूप से जांचे जाते हैं, निगरानी की जाती है, और किसी अन्य परिधि डिवाइस की तरह पैच की जाती है," वे कहते हैं।

संगठनों को कार्रवाई करनी चाहिए: हाईटस बायनेरिज़ को पहली बार पिछले जुलाई में देखा गया था, जिसमें नए संक्रमण कम से कम फरवरी के मध्य तक जारी रहे। हमले मैलवेयर के संस्करण 1.5 का उपयोग करते हैं, यह दर्शाता है कि जुलाई से पहले संस्करण 1.0 का उपयोग कर गतिविधि हो सकती है। ब्लैक लोटस ने कहा कि उसे पूरी उम्मीद है कि गतिविधि जारी रहेगी।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/threat-intelligence/hiatusrat-campaign-draytek-gear-cyber-espionage-proxy-control