Grupa zagrożeń odpowiedzialna za malware HiatusRAT rozpoczęła nową falę działań związanych z rozpoznawaniem i celowaniem. Tym razem ich głównym celem są organizacje zlokalizowane na Tajwanie oraz amerykański system zamówień wojskowych. Firma zajmująca się cyberbezpieczeństwem Lumen Black Lotus Labs poinformowała, że twórcy zagrożeń ponownie skompilowali próbki malware’u dla różnych architektur i umieścili je na nowych serwerach VPN.
Obecna aktywność grupy jest opisana jako „bezczelna” i „jedna z najodważniejszych” przez firmę zajmującą się cyberbezpieczeństwem. Obecnie tożsamość i pochodzenie twórców zagrożeń pozostają nieznane.
Celem tych ataków są firmy komercyjne, takie jak producenci półprzewodników i chemikaliów. Ponadto, przynajmniej jedna gmina tajwańska oraz serwer Departamentu Obrony Stanów Zjednoczonych (DoD) powiązany z umowami obronnymi zostały dotknięte.
Malware HiatusRAT został odkryty po raz pierwszy przez firmę zajmującą się cyberbezpieczeństwem w marcu 2023 roku. Okazało się, że skierowany był na routery klasy biznesowej, aby szpiegować ofiary, głównie znajdujące się w Ameryce Łacińskiej i Europie. W ramach tej kampanii zainfekowanych zostało nawet 100 urządzeń sieciowych, tworząc sieć proxy infrastruktury do zarządzania poleceń i kontroli (C2).
Najnowsza seria ataków, obserwowanych od połowy czerwca do sierpnia 2023, polega na wykorzystaniu pre-built binarnych plików HiatusRAT, specjalnie zaprojektowanych dla różnych architektur. Obejmują one ARM, Intel 80386, x86-64, MIPS, MIPS64 i i386.
Analiza telemetrii serwera, na którym znajduje się malware, wykazała, że ponad 91% połączeń przychodzących pochodzi z Tajwanu. Ponadto, wydaje się, że preferowane są urządzenia zewnętrzne produkowane przez Ruckus.
Infrastruktura HiatusRAT składa się z serwerów z payloadem i rozpoznania, które bezpośrednio komunikują się z sieciami ofiar. Te serwery są kontrolowane przez serwery Tier 1, zarządzane przez serwery Tier 2.
Atakujący zostali śledzeni za pomocą dwóch różnych adresów IP: 207.246.80[.]240 i 45.63.70[.]57. Połączenie z serwerem DoD miało miejsce 13 czerwca i trwało około dwóch godzin, w trakcie których przesłano szacunkowo 11 MB danych dwukierunkowych.
Ostatecznym celem tych ataków nie jest jasne, ale podejrzewa się, że twórcy zagrożeń mogą poszukiwać publicznie dostępnych informacji dotyczących bieżących i przyszłych umów wojskowych, które można by wykorzystać w przyszłych atakach.
Podejmowanie działań mających na celu celowanie w urządzenia graniczne, takie jak routery, staje się częstym zjawiskiem w ostatnich miesiącach. Grupy zagrożeń związane z Chinami wykorzystują podatności bezpieczeństwa w niewspieranych urządzeniach Fortinet i SonicWall, aby nawiązać długotrwałą obecność w środowiskach docelowych.
Mimo wcześniejszych informacji na temat narzędzi i możliwości HiatusRAT, twórcy zagrożeń wprowadzili tylko minimalne zmiany w swoich serwerach payloadu. Kontynuują swoje działania, nie próbując rekonfigurować swojej infrastruktury C2.