Lo Último en IP@P
- Goblin Mine: La Estrategia Económica Detrás del Juego de Minería que está Fascinando a Todos
- Estos son los nuevos Cargadores UGREEN: potencia y portabilidad en dos versiones que no te puedes perder
- UGREEN Nexode Pro: El Cargador Ultradelgado que revoluciona la carga de dispositivos móviles
- La computación en la nube está transformando los juegos Online y estas son sus grandes ventajas
- Actualizaciones del Programa de Afiliados de TEMU: ¡Hasta MX$500,000 al mes!
Este 7 de marzo, Lumen Black Lotus Labs ha detectado un nuevo malware que está directamente dirigido a los enrutadores de oficinas pequeñas y domésticas, y que nunca antes había sido visto, por lo que ahora se enfrentan a algo totalmente nuevo. De manera que se trata de una campaña totalmente desconocida y que podría empezar a causar muchos inconvenientes.
Este tipo de campaña ha sido denominada como “Pausa”, la cual tiene como objetivo infectar enrutadores de nivel empresarial e implementar dos binarios maliciosos como un troyano de acceso remoto, el cual es conocido como HiatusRAT, considerado una amenaza muy seria para las compañías.
Nace una nueva ciberamenaza; HiatusRAT
Las personas a cargo de esta amenaza, llevada a cabo con la campaña HiatusRAT, la han colocado en funcionamiento en los modelos 2960 y 3900 de DrayTek Vigor al final de su vida útil como una arquitectura de i386. De manera que tras la investigación realizada por parte de los investigadores de Lumen Black Lotus Labs, se logró descubrir la presencia de binarios preconstruidos.
Por ahora, los enrutadores afectados son de gran ancho de banda y admiten conexiones VPN para trabajadores remotos. Es así como los expertos en la materia aseguran que el malware infecta objetivos de interés para recolectar datos e información para lograr establecer una red proxy encubierta.
De manera que esta campaña HiatusRAT, hasta ahora desconocida en su gran parte, estaría conformada por tres componentes principales como el HiatoRAT, un script bash que se implementa después de la explotación y dos ejecutables recuperados, y una variante de tcpdump que permite capturar esos paquetes.
Al momento que el sistema que ha sido vulnerado por el malware HiatusRAT, entonces permite que el actor del ataque pueda empezar a interactuar de forma remota con el equipo, y gracias a esto consigue usar las funcionalidades preconstruidas, algunas de las cuales son muy inusuales.
Últimas Noticias de Software y APPs
- La computación en la nube está transformando los juegos Online y estas son sus grandes ventajas
- Actualizaciones del Programa de Afiliados de TEMU: ¡Hasta MX$500,000 al mes!
- ¿Por qué la gente opta por WPS Office en vez de continuar usando Microsoft Office?
- Según nuestro último estudio, estos son los mejores gestores de archivos para smartphones Android
- ¿Por qué utilizar la estabilización de vídeo con IA para corregir vídeos?
SÍGUENOS EN 👉 YOUTUBE TV
Gracias a esto, el atacante es capaz de convertir la máquina comprometida en un proxy encubierto. Aquí el binario de captura de paquetes hace que el actor pueda monitorear el tráfico del enrutador en puertos asociados con las comunicaciones de transferencia de archivos y correo electrónico.
Por lo tanto, el análisis realizado por parte del equipo de Lumen Black Lotus Labs ha mostrado que la campaña de HiatusRAT tiene dos propósitos fundamentales. El primero de ellos, sería la de interactuar de manera remota con el dispositivo afectado, esto permitirá al atacante descargar archivos o ejecutar comandos arbitrarios.
El segundo propósito de HiatusRAT, sería funcionar como un dispositivo proxy SOCKS5 en el enrutador. Gracias a esto, el atacante puede enviar por proxy el tráfico de comando y el control a través del enrutador para así conseguir el manejo de un agente adicional en otro lugar.
Según el análisis realizado por los investigadores, han indicado que la última campaña de Hiatus fue en julio de 2022, pero aseguran tener sospechas de que este tipo de actividades por parte de estos ciberdelincuentes se realiza desde mucho antes.
Esto se debe a que han logrado observar a más de 100 bots conectados con Hiatus, lo que significa que es cerca de un 2% de los enrutadores DrayTEk 2960 y 3900 que están expuestos actualmente en Internet. Por lo tanto, esta información revelaría que la organización detrás del ataque mantiene intencionalmente una huella mínima para limitar su exposición y conseguir puntos críticos de presencia.
“Estos dispositivos generalmente viven fuera del perímetro de seguridad tradicional, lo que significa que generalmente no se monitorean ni actualizan. Esto ayuda al atacante a establecer y mantener la persistencia a lo largo del tiempo sin ser detectado”
Mark Dehus, director de inteligencia de amenazas de Lumen Black Lotus Labs
Por último, hay que mencionar que este descubrimiento ha llegado poco más de seis meses después de que Lumen Black Lotus Labs descubriera una campaña de malware no relacionada centrada en el enrutador que usada un nuevo troyano, el cual fue identificado en ese momento como ZuoRAT.
“El descubrimiento de HiatusRAT ha confirmado que los actores continúan buscando la explotación del enrutador. Estás campañas demuestran la necesidad de proteger el ecosistema de enrutadores, y los enrutadores deben monitorearse, reiniciarse y actualizarse regularmente, mientras que los dispositivos al final de su vida útil deben reemplazarse”
Mark Dehus, director de inteligencia de amenazas de Lumen Black Lotus Labs