Sommario
Il malware HiatusRAT, dopo un periodo di inattività, è tornato alla ribalta con una nuova ondata di attività di ricognizione e mira a organizzazioni con sede a Taiwan e a un sistema di approvvigionamento militare degli Stati Uniti.
Dettagli sull’attività del malware
Secondo quanto riportato da Lumen Black Lotus Labs in un rapporto pubblicato la scorsa settimana, oltre a ricompilare campioni di malware per diverse architetture, gli artefatti sono stati ospitati su nuovi server virtuali privati (VPSs). La società di cybersecurity ha descritto il cluster di attività come “sfacciato” e “uno dei più audaci”, senza mostrare segni di rallentamento. L’identità e l’origine degli attori minacciosi sono attualmente sconosciute.
Obiettivi del malware
Gli obiettivi comprendevano aziende commerciali, come produttori di semiconduttori e prodotti chimici, e almeno un’organizzazione governativa municipale a Taiwan, nonché un server del Dipartimento della Difesa degli Stati Uniti (DoD) associato alla presentazione e al recupero di proposte per contratti di difesa.
Storia di HiatusRAT
HiatusRAT è stato rivelato per la prima volta dalla società di cybersecurity nel marzo 2023, avendo preso di mira router di livello aziendale per spiare segretamente le vittime principalmente situate in America Latina ed Europa in una campagna iniziata nel luglio 2022. Circa 100 dispositivi di rete globali sono stati infettati per raccogliere passivamente il traffico e trasformarli in una rete proxy di infrastruttura di comando e controllo (C2).
Ulteriori dettagli sugli attacchi
Gli ultimi attacchi, osservati da metà giugno ad agosto 2023, prevedono l’uso di binari HiatusRAT pre-costruiti specificamente per le architetture Arm, Intel 80386 e x86-64, insieme a MIPS, MIPS64 e i386. Un’analisi della telemetria per determinare le connessioni effettuate al server che ospita il malware ha rivelato che “oltre il 91% delle connessioni in entrata proveniva da Taiwan, e sembrava esserci una preferenza per i dispositivi edge prodotti da Ruckus”.
Infrastruttura e obiettivi di HiatusRAT
L’infrastruttura di HiatusRAT comprende server di payload e di ricognizione, che comunicano direttamente con le reti delle vittime. Questi server sono comandati dai server di livello 1, che a loro volta sono gestiti dai server di livello 2. Gli aggressori sono stati identificati nell’uso di due diversi indirizzi IP per connettersi al server DoD il 13 giugno per circa due ore. Si stima che 11 MB di dati bidirezionali siano stati trasferiti durante il periodo.
Non è chiaro qual sia l’obiettivo finale, ma si sospetta che l’avversario potesse essere alla ricerca di informazioni pubblicamente disponibili relative ai contratti militari attuali e futuri per future operazioni mirate. Il mirare a risorse perimetrali come i router è diventato una sorta di modello negli ultimi mesi.
