حمله بدافزار هیاتوس رت به شرکت های تایوان و ارتش ایالات متحده

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، آزمایشگاه های لومن بلک لوتوس (Lumen Black Lotus Labs) در گزارشی که هفته گذشته منتشر شد، گفت:

علاوه بر کامپایل مجدد نمونه‌های بدافزار برای معماری‌های مختلف، گفته می‌شود که مصنوعات روی سرورهای خصوصی مجازی جدید (VPS) میزبانی شده‌اند.

این شرکت امنیت سایبری، این خوشه فعالیت را «وحشیانه» و «یکی از جسورانه ترین ها» توصیف می کند که نشان دهنده هیچ نشانه ای از کاهش سرعت در آن نیست.

هویت و منشا عوامل تهدید در حال حاضر ناشناخته است.

اهداف شامل شرکت های تجاری مانند تولید کنندگان نیمه هادی و مواد شیمیایی و حداقل یک سازمان دولتی شهری در تایوان و همچنین سرور وزارت دفاع ایالات متحده (DoD) مرتبط با ارسال و بازیابی پیشنهادات برای قراردادهای دفاعی بوده است.

هیاتوس رت برای اولین بار توسط شرکت امنیت سایبری در مارس 2023 افشا شد که روترهای درجه یک تجاری را برای جاسوسی مخفیانه از قربانیانی که عمدتاً در آمریکای لاتین و اروپا واقع شده بودند، به عنوان بخشی از کمپینی که در ژوئیه 2022 آغاز شد، هدف قرار داد.

حدود 100 دستگاه شبکه لبه در سراسر جهان برای جمع آوری غیرفعال ترافیک و تبدیل آنها به یک شبکه پروکسی زیرساخت فرماندهی و کنترل (C2) آلوده شدند.

آخرین مجموعه حملات که از اواسط ژوئن تا آگوست 2023 مشاهده شد، مستلزم استفاده از باینری های از پیش ساخته شده هیاتوس رت است که به طور خاص برای معماری های Arm، Intel 80386 و x86-64 در کنار MIPS، MIPS64 و i386 طراحی شده اند.

یک تجزیه و تحلیل تله متری برای تعیین اتصالات ایجاد شده به سرور میزبان بدافزار، نشان داده است که بیش از 91٪ از اتصالات ورودی از تایوان منشا می گیرند و به نظر می رسد ترجیحی برای دستگاه های لبه ای تولید شده توسط روکوس (Ruckus) وجود دارد.

زیرساخت هیاتوس رت از سرورهای محموله و شناسایی تشکیل شده است که مستقیماً با شبکه های قربانی در ارتباط هستند.

این سرورها توسط سرورهای Tier 1 کنترل می شوند که به نوبه خود توسط سرورهای Tier 2 اداره و مدیریت می شوند.

مشخص شده است که مهاجمان از دو آدرس آی پی مختلف 207.246.80[.]240 و 45.63.70[.]57 برای اتصال به سرور وزارت دفاع در تاریخ 13 ژوئن به مدت تقریباً دو ساعت استفاده کرده اند.

تخمین زده می شود که 11 مگابایت داده دو جهته در طول این بازه زمانی منتقل شده باشد.

مشخص نیست هدف نهایی چیست، اما گمان می رود که دشمن ممکن است به دنبال اطلاعات در دسترس عمومی مربوط به قراردادهای نظامی فعلی و آتی برای هدف قرار دادن آینده بوده باشد.

هدف‌گیری دارایی‌های پیرامونی مانند روترها در ماه‌های اخیر به یک الگو تبدیل شده است، با عوامل تهدید مرتبط با چین که با سوءاستفاده از نقص‌های امنیتی در دستگاه‌های فورتی نت (Fortinet) و سونیک وال (SonicWall) وصله‌نشده برای ایجاد پایداری طولانی‌مدت در محیط‌های هدف، مرتبط هستند.

این شرکت گفت:

علی‌رغم افشای ابزارها و قابلیت‌های قبلی، عامل تهدید کوچک‌ترین گام‌ها را نیز برای تعویض سرورهای پیلود موجود برداشته است و عملیات خود را بدون حتی تلاش برای پیکربندی مجدد زیرساخت فرمان و کنترل خود ادامه داده است.