HiatusRAT Malware IOCs - Part 2

remote access Trojan IOC
Опубликовано

В марте 2023 года компания Lumen Black Lotus Labs сообщила о сложной кампании под названием "HiatusRAT", в ходе которой было заражено более 100 пограничных сетевых устройств по всему миру. Кампания использовала пограничные маршрутизаторы, или "живущие на границе", для пассивного сбора трафика и функционировала как скрытая сеть командно-контрольной (C2) инфраструктуры.

HiatusRAT

После публикации результатов первоначального исследования Black Lotus Labs продолжила отслеживать этого агента, в результате чего были обнаружены новые образцы вредоносного ПО и инфраструктура, связанная с кластером HiatusRAT. В ходе последней кампании Black Lotus Labs наблюдали изменения в разведывательной и целевой активности: в июне  наблюдали разведку системы военных закупок США и целевые атаки на организации, расположенные на Тайване. Это противоречит предыдущим кампаниям, в которых основными объектами атак были организации Латинской Америки и Европы. Изменения в сборе информации и предпочтениях в выборе целей, продемонстрированные в последней кампании, являются синонимами стратегических интересов Китайской Народной Республики, согласно оценке угроз ODNI на 2023 год.

Несмотря на предыдущие сообщения, эта группа продолжала свою деятельность практически без остановки; в качестве действительно дерзкого шага она перекомпилировала образцы вредоносного ПО для различных архитектур, содержащих ранее выявленные серверы C2. Вновь скомпилированные вредоносные программы размещались на различных виртуальных частных серверах (VPS). Один из них использовался практически исключительно для атак на предприятия Тайваня, включая коммерческие фирмы и как минимум одну муниципальную правительственную организацию. Впоследствии мы обнаружили, что другой VPS-узел осуществляет передачу данных с сервером американских военных, используемым для подачи предложений по контрактам. Учитывая, что этот сайт был связан с контрактными предложениями, мы предполагаем, что угрожающий агент мог собирать общедоступную информацию о военных требованиях или искать организации, участвующие в оборонной промышленной базе (ОПП).

С середины июня по август 2023 года Black Lotus Labs обнаружила несколько новых скомпилированных версий вредоносной программы HiatusRAT. В рамках последней кампании Black Lotus Labs также обнаружили готовые двоичные файлы Hiatus, нацеленные на новые архитектуры, такие как Arm, Intel 80386 и x86-64, а также на ранее нацеленные архитектуры, такие как MIPS, MIPS64 и i386. Black Lotus Labs с высокой степенью уверенности связали эти образцы с предыдущим отчетом, поскольку угрожающий агент использовал тот же самый сервер heartbeat и загрузки для передачи вредоносных программ, о котором говорилось в том отчете. Единственным заметным отличием было то, что с июня по июль полезная нагрузка HiatusRAT размещалась на новом VPS с IP-адресом 207.246.80[.]240. Начиная с августа, Black Lotus Labs наблюдали, что сервер, на котором размещались полезные нагрузки, снова переместился на VPS с IP-адресом 107.189.11[.]105.

Определив IP-адрес, на котором размещались вредоносные файлы, связанные с HiatusRAT, Black Lotus Labs провели поиск подключений к этому серверу в телеметрии с целью выявления потенциальных целей. Black Lotus Labs обнаружили, что более 91% входящих соединений было сделано с Тайваня, причем предпочтение отдавалось пограничным устройствам производства Ruckus. Тайваньская атака затронула широкий круг организаций, включая производителей полупроводников и химической продукции, а также, по крайней мере, одну муниципальную правительственную организацию.

Понимая, что эта инфраструктура все еще активна, Black Lotus Labs проанализировали глобальную телеметрию в поисках серверов верхнего уровня, или уровня 2, которые, судя по всему, работают и управляют серверами уровня 1. Black Lotus Labs обнаружили один узел в КНР с IP-адресом 101.39.202[.]142, а также три дополнительных VPS в США:

  • 45.63.70[.]57
  • 155.138.213[.]169
  • 66.135.22[.]245

По данным Black Lotus Labs, для подключения к серверу американских военных, связанному с подачей и получением предложений по оборонным контрактам, злоумышленники использовали адреса 207.246.80[.]240 и 45.63.70[.]57. В течение примерно двух часов 13 июня мы наблюдали более 11 МБ выборочной двунаправленной передачи данных. В этот период IP-адрес 207.246.80[.]240 инициировал короткое пятиминутное соединение с сервером. Через десять минут после завершения этой сессии было зафиксировано второе 90-минутное соединение с IP-адреса 45.63.70[.]57. Black Lotus Labs подозревают, что этот пользователь искал общедоступные ресурсы, связанные с текущими и будущими военными контрактами. Учитывая, что данный сайт был связан с предложениями по контрактам, мы подозреваем, что целью атаки было получение общедоступной информации о военных требованиях и поиск организаций, участвующих в оборонно-промышленной базе (ОПП), потенциально для последующей атаки.

Indicators of Compromise

IPv4

  • 104.250.48.192
  • 107.189.11.105
  • 155.138.213.169
  • 207.246.80.240
  • 45.63.70.57
  • 46.8.113.227
  • 66.135.22.245

SHA256

  • 193481c4e2cbd14a29090f500f88455e1394140b9c5857937f86d2b854b54f60
  • 3a21599e0a60b4bce8d31757f0b461a217f30d0ea261f5844004b8cc09fcab35
  • 6e21e42cfb93fc2ab77678b040dc673b88af31d78fafe91700c7241337fc5db2
  • 766e13d2a085c7c1b5e37fe0be92658932a13cfbcadf5b08977420fc6ac6d3e3
  • 774f2f3a801ddfe5d8a9ab1b90398ee28ee2be3d7ad0fa75eacbdf7ab51f6939
  • 98ec46ac0e3b0b49140f710d0437e03e1f89f9b6fc092be7a5a1fde7d59e312e
  • a878b0ca6c99e82127cc9ef5e83b5dac5f1f8b9798580346e33e6d6f16267b73
Похожие записи:
  1. ZuoRAT IOCs
  2. HiatusRAT Malware IOCs
  3. DCRat (Dark Crystal Rat) IOC
  4. Transparent Tribe (CrimsonRAT) Malware IOC
  5. Borat RAT (Remote Access Trojan) IOC
Black Lotus Labs HiatusRAT Rat
Добавить комментарий