Новости HiatusRAT атакует системы Министерства обороны США

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.256
Репутация
11.800
Реакции
61.967
RUB
50
Специалисты Black Lotus Labs компании Lumen , что в рамках новой вредоносной кампании вредонос HiatusRAT атаковал сервер Министерства обороны США.


Исследователи считают это «разведывательной атакой» и отмечают, что теперь целями хакеров стали система военных закупок США, а также организации, базирующиеся на Тайване.

Ранее HiatusRAT маршрутизаторы бизнес-класса DrayTek Vigor и в основном атаковал организации в странах Латинской Америки и Европы, с целью кражи данных их владельцев и создания скрытой прокси-сети, но теперь цели у операторов малвари изменись.

Исследователи отмечают, что злоумышленники перекомпилировали вредоносные бинарники для новых архитектур, включая Arm, Intel 80386 и x86-64, разместив их на недавно приобретенных VPS-серверах. Атаки группировки длились с середины июня по август 2023 года.



Один из этих VPS использовался почти исключительно для атак на тайваньские организации, включая муниципальные государственные учреждения и различные коммерческие фирмы, в том числе производителей полупроводников и химикатов.

Другой VPS обменивался данными с сервером, который Министерство обороны США использует для предложений о заключении контрактов и размещения соответствующих заявок.

Анализ взаимодействия с сервером малвари показал, что более 91% входящих подключений исходили из Тайваня, в основном с периферийных устройств производства Ruckus.

«Учитывая, что сайт был связан с закупками, мы подозреваем, что злоумышленники могли собирать общедоступную информацию о потребностях военных или искали организации, связанные с оборонно-промышленной базой США для последующих атак, — пишут эксперты. — Также мы полагаем, что злоумышленники искали общедоступные ресурсы, связанные с текущими и будущими военными контрактами».

Отмечается, несмотря на предыдущие отчеты экспертов и раскрытие инструментов и возможностей атакующих, хакеры почти не утруждались заменой существующих серверов для полезной нагрузки и продолжили работу, даже не попытавшись переконфигурировать свою управляющую инфраструктуру.

 
Сверху Снизу