HiatusRAT惡意軟體再現:針對台灣組織和美國軍事採購系統發起了新一波攻擊

2023 年 3 月,Lumen Black Lotus Labs 的研究人員發現了名為HiatusRAT 的攻擊活動,該活動感染了全球 100 多個網路邊際設備,它的目標是中型企業通常使用的頻寬路由器,允許攻擊者運行命令、竊取數據並建立隱蔽的代理網路。在 2023 年 6 月觀察到的攻擊中,研究人員發現攻擊者改變了策略,將目標轉向臺灣及美國,對美國軍事採購系統進行偵察並針對台灣組織。根據Lumen 的一份新報告,攻擊者不受公開曝光的阻礙,繼續進行操作,並為新架構(包括Arm、Intel 80386 和x86-64)重新編譯了惡意軟體二進製檔案,並將它們託管在新採購的虛擬專用伺服器(VPS) 上。

針對台灣公司和至少一個政府組織的網路攻擊早在 2023 年 8 月就被發現。Lumen 研究人員過去研究了 HiatusRAT 建立的殭屍網絡,注意到來自台灣 IP 地址區域的新連接流。不久之後,針對化學生產設施、半導體製造商和一個城市的網路攻擊被發現。

美國國防部的情況有些不同。同一研究小組檢測到流向與殭屍網路相關的 IP 地址的流量不僅來自台灣,還來自美國。具體來說,他們發現HiatusRAT背後的攻擊者使用其中一台 2 級伺服器連接到專門處理國防合同的國防部伺服器。幸運的是,這裡沒有發生深度滲透,攻擊者很可能是在進行偵察,然後再採取進一步行動。

Photo Credit: Black Lotus Labs by Lumen

Lumen 還發現了一個不同的 VPS 節點,用於與美國國防部用於合約提案和提交的伺服器傳輸數據。Lumen 指出:“鑑於該網站與合約提案相關,我們懷疑攻擊者可以收集有關軍事需求的公開資料,或搜索參與國防工業基地 (DIB) 的組織。”

新觀察到的惡意軟體樣本使用與之前的二進製檔案相同的心跳和上傳伺服器進行通信。從本月開始,攻擊者一直在先前識別的 VPS 上託管有效負載。

對惡意軟體伺服器通信的分析顯示,超過 91% 的入站連接來自台灣,主要來自 Ruckus 製造的邊緣設備。

據 Lumen 稱,觀察到的 HiatusRAT 活動似乎與已知的攻擊者沒有重疊,儘管最近目標的轉變與最近針對美國實體的針對中國的行動的報告一致。我們懷疑操作HiatusRAT的攻擊者是另一個用來攻擊美國國防工業基地的網路間諜手段。Lumen 建議國防承包商謹慎行事,並監控其網路設備是否存在 HiatusRAT。