...
Hiatusrat Malware Resurge Apuntando A Organizaciones En Taiwan

HiatusRAT Malware Resurge Apuntando a Organizaciones en Taiwán

Regreso de HiatusRAT con Nuevas Actividades

Los actores de amenazas detrás del malware HiatusRAT han regresado con una nueva ola de actividades de reconocimiento y objetivos dirigidos a organizaciones con sede en Taiwán y un sistema de adquisiciones militares de EE.UU.

Nuevas Tácticas y Objetivos

Además de recompilar muestras de malware para diferentes arquitecturas, se dice que los artefactos han sido alojados en nuevos servidores privados virtuales (VPSs), según un informe publicado la semana pasada por Lumen Black Lotus Labs.

Black Lotus Labs

La firma de ciberseguridad describió la actividad como «descarada» y «una de las más audaces», sin mostrar signos de desaceleración. La identidad y el origen de los actores de amenazas son actualmente desconocidos.

Empresas y Organizaciones en la Mira

Los objetivos incluyeron empresas comerciales, como fabricantes de semiconductores y productos químicos, y al menos una organización gubernamental municipal en Taiwán, así como un servidor del Departamento de Defensa de EE.UU. (DoD) asociado con la presentación y recuperación de propuestas para contratos de defensa.

Historial de HiatusRAT

HiatusRAT fue revelado por primera vez por la compañía de ciberseguridad en marzo de 2023, habiendo dirigido routers de grado empresarial para espiar encubiertamente a víctimas ubicadas principalmente en América Latina y Europa en una campaña que comenzó en julio de 2022.

Detalles Técnicos y Ataques Recientes

El último conjunto de ataques, observados desde mediados de junio hasta agosto de 2023, implica el uso de binarios HiatusRAT preconstruidos específicamente diseñados para varias arquitecturas.

El Nuevo Malware Del Enrutador Hiatusrat Espía De Forma Encubierta A Las Víctimas - Lumen

Un análisis de telemetría reveló que «más del 91% de las conexiones entrantes provenían de Taiwán, y parecía haber una preferencia por los dispositivos periféricos fabricados por Ruckus».

Infraestructura y Ataque al DoD

La infraestructura de HiatusRAT consta de servidores de carga útil y reconocimiento, que se comunican directamente con las redes de las víctimas. Los atacantes han sido identificados usando dos direcciones IP diferentes para conectarse al servidor del DoD, transfiriendo aproximadamente 11 MB de datos bidireccionales.

Objetivo Final y Patrones Recientes

No está claro cuál es el objetivo final, pero se sospecha que el adversario pudo haber estado buscando información pública relacionada con contratos militares actuales y futuros.

Hiatusrat Malware Diagrama

El ataque a activos perimetrales, como routers, ha seguido un patrón en los últimos meses, con actores de amenazas afiliados a China vinculados a la explotación de vulnerabilidades en dispositivos Fortinet y SonicWall no parcheados.

Persistencia de los Atacantes

«A pesar de las divulgaciones anteriores de herramientas y capacidades, el actor de amenazas tomó los pasos más mínimos para cambiar los servidores de carga útil existentes y continuó con sus operaciones, sin siquiera intentar reconfigurar su infraestructura C2», señaló la compañía.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio