Популярные VPN-маршрутизаторы взламываются для распространения вредоносных программ
Популярные VPN-маршрутизаторы взламываются для распространения вредоносных программ. Фото: СС0
Исследователи обнаружили, что две модели маршрутизаторов DrayTek Vigor — 2960 и 3900 — используются для распространения вредоносного ПО под названием HiatusRAT.
Этот троян удаленного доступа используется для загрузки дополнительных вредоносных полезных нагрузок, которые выполняют различные команды на зараженной конечной точке и превращают устройство в прокси-сервер SOCKS5 для передачи трафика сервера управления и контроля.
В отчете говорится, что большинство жертв находятся в Европе, Северной и Южной Америке. Исследователи не уверены, какова начальная точка контакта зараженных устройств.
Тем не менее, они перепроектировали вредоносное ПО и обнаружили, что оно крадет системные данные (MAC-адрес, версия ядра и т. д.), сетевые данные (IP-адреса), данные файловой системы и данные процессов (имена процессов, идентификаторы, UID и т. д.). Кроме того, RAT каждые восемь часов отправляет на сервер POST-сообщение, которое злоумышленники используют для мониторинга зараженного устройства.
Кроме того, зловред может читать, удалять и загружать файлы, загружать и запускать программы, пересылать любой набор данных TCP на порт прослушивания хоста и при необходимости останавливаться.
Исследователи говорят, что все это необходимо для того, чтобы злоумышленники могли перехватывать конфиденциальные данные, проходящие через маршрутизатор.
Из сообщения исследователей безопасности:
«Как только данные захвата пакета достигают определенной длины файла, они отправляются на «выгрузку C2», расположенную по адресу 46.8.113[.]227, вместе с информацией о хост-маршрутизаторе. Это позволяет злоумышленнику пассивно перехватывать трафик электронной почты, проходящий через маршрутизатор, и некоторый трафик передачи файлов».
Хотя не так много компаний заражены Hiatus, его влияние все же может быть значительным, говорят исследователи, поскольку хакеры могут украсть электронную почту и учетные данные FTP.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было