Специалисты Black Lotus Labs компании Lumen сообщают, что в рамках новой вредоносной кампании вредонос HiatusRAT атаковал сервер Министерства обороны США. Исследователи считают это «разведывательной атакой» и отмечают, что теперь целями хакеров стали система военных закупок США, а также организации, базирующиеся на Тайване.
Ранее HiatusRAT эксплуатировал маршрутизаторы бизнес-класса DrayTek Vigor и в основном атаковал организации в странах Латинской Америки и Европы, с целью кражи данных их владельцев и создания скрытой прокси-сети, но теперь цели у операторов малвари изменись.
Исследователи отмечают, что злоумышленники перекомпилировали вредоносные бинарники для новых архитектур, включая Arm, Intel 80386 и x86-64, разместив их на недавно приобретенных VPS-серверах. Атаки группировки длились с середины июня по август 2023 года.
Один из этих VPS использовался почти исключительно для атак на тайваньские организации, включая муниципальные государственные учреждения и различные коммерческие фирмы, в том числе производителей полупроводников и химикатов.
Другой VPS обменивался данными с сервером, который Министерство обороны США использует для предложений о заключении контрактов и размещения соответствующих заявок.
Анализ взаимодействия с сервером малвари показал, что более 91% входящих подключений исходили из Тайваня, в основном с периферийных устройств производства Ruckus.
Отмечается, несмотря на предыдущие отчеты экспертов и раскрытие инструментов и возможностей атакующих, хакеры почти не утруждались заменой существующих серверов для полезной нагрузки и продолжили работу, даже не попытавшись переконфигурировать свою управляющую инфраструктуру.
Ранее HiatusRAT эксплуатировал маршрутизаторы бизнес-класса DrayTek Vigor и в основном атаковал организации в странах Латинской Америки и Европы, с целью кражи данных их владельцев и создания скрытой прокси-сети, но теперь цели у операторов малвари изменись.
Исследователи отмечают, что злоумышленники перекомпилировали вредоносные бинарники для новых архитектур, включая Arm, Intel 80386 и x86-64, разместив их на недавно приобретенных VPS-серверах. Атаки группировки длились с середины июня по август 2023 года.
Один из этих VPS использовался почти исключительно для атак на тайваньские организации, включая муниципальные государственные учреждения и различные коммерческие фирмы, в том числе производителей полупроводников и химикатов.
Другой VPS обменивался данными с сервером, который Министерство обороны США использует для предложений о заключении контрактов и размещения соответствующих заявок.
Анализ взаимодействия с сервером малвари показал, что более 91% входящих подключений исходили из Тайваня, в основном с периферийных устройств производства Ruckus.
Отмечается, несмотря на предыдущие отчеты экспертов и раскрытие инструментов и возможностей атакующих, хакеры почти не утруждались заменой существующих серверов для полезной нагрузки и продолжили работу, даже не попытавшись переконфигурировать свою управляющую инфраструктуру.
