执行摘要
2023 年 3 月,Lumen Black Lotus Labs 报告了一场名为“ HiatusRAT ”的复杂活动,该活动感染了全球 100 多个边缘网络设备。该活动利用边缘路由器或“生活在边缘”访问来被动收集流量,并充当指挥和控制 (C2) 基础设施的隐蔽网络。
在发布我们的初步研究后,Black Lotus Labs 继续跟踪该攻击者,从而产生了与 HiatusRAT 集群相关的新恶意软件样本和基础设施。在最近的活动中,我们观察到侦察和目标活动发生了变化;6月,我们观察到针对美国军事采购系统的侦察,以及针对台湾组织的侦察。这与之前主要针对拉丁美洲和欧洲组织的活动背道而驰。根据国家情报总监办公室 2023 年威胁评估,最新活动中展示的信息收集和目标偏好的转变与中华人民共和国的战略利益同义。
尽管我们之前有过报道,但该组织的活动几乎没有减弱;他们非常厚颜无耻地为包含先前识别的 C2 服务器的不同架构重新编译了恶意软件样本。然后,攻击者将这个新编译的恶意软件托管在不同的采购虚拟专用服务器 (VPS) 上。其中之一几乎专门用于针对台湾各地的实体,包括商业公司和至少一个市政府组织。我们随后观察到另一个 VPS 节点与用于合同提案和提交的美国军用 服务器执行数据传输。鉴于该网站与合同提案相关,我们怀疑威胁行为者可以收集有关军事需求的公开信息,或搜索参与国防工业基地 (DIB) 的组织。
技术细节
从 6 月中旬到 2023 年 8 月,Black Lotus Labs 观察到了在野外发现的多个新编译版本的 HiatusRAT 恶意软件。在这次最新的活动中,我们的调查还发现了针对新架构(例如 Arm、Intel 80386 和 x86-64)以及之前针对的架构(例如 MIPS、MIPS64 和 i386)的预构建 Hiatus 二进制文件。我们非常有信心地将这些样本与我们之前的报告相关联,因为威胁行为者使用相同的心跳和上传服务器来进行该报告中 详细说明的恶意软件通信。唯一显着的区别是,从 6 月到 7 月,HiatusRAT 有效负载托管在新观察到的 VPS 上,IP 地址为 207.246.80[.]240 。从 8 月份开始,我们观察到他们再次将有效负载托管服务器转移到 IP 地址为 107.189.11[.]105 的 VPS。
在识别出托管与 HiatusRAT 相关的恶意文件的 IP 地址后,我们在遥测中搜索与该服务器的连接,以识别潜在目标。我们发现超过 91% 的入站连接来自台湾,并且似乎更喜欢 Ruckus 制造的边缘设备。台湾的目标影响了半导体和化学品制造商以及至少一个市政府组织等一系列组织。
意识到该基础设施仍然处于活动状态,我们通过全球遥测技术进行搜索,以搜索似乎运行和管理第 1 层服务器的上游或第 2 层服务器。我们在中国确定了一个节点,IP 地址为 101.39.202[.]142,以及在美国的另外三个 VPS:
45.63.70[.]57
155.138.213[.]169
66.135.22[.]245 
图 1:描绘新 HiatusRAT 网络中的逻辑连接
Black Lotus Labs 的全球知名度表明,威胁行为者使用 207.246.80[.]240 和 45.63.70[.]57 连接到与提交和检索国防合同提案相关的美国军事服务器。在 6 月 13 日大约两个小时的时间里,我们观察到传输的采样双向数据超过 11MB。在此期间,IP地址207.246.80[.]240向服务器发起了短暂的五分钟连接。该会话结束十分钟后,又出现了来自 IP 地址 45.63.70[.]57 的第二个 90分钟连接。我们怀疑该行为者正在寻找与当前和未来军事合同相关的公开可用资源。鉴于该网站与合同提案相关,我们怀疑其目的是获取有关军事需求的公开信息,并搜索参与国防工业基地 (DIB) 的组织,可能用于后续目标。
结论
虽然我们承认所有威胁行为者在公开披露方面都有不同的容忍度,但该活动集群被列为黑莲花实验室观察到的最大胆的活动之一。尽管之前披露了工具和功能,但威胁行为者采取了最细微的步骤来更换现有的有效负载服务器并继续其操作,甚至没有尝试重新配置其 C2 基础设施。这凸显了处理边缘和基于物联网的恶意软件的难度,因为目前没有通用的机制来清理这些设备。
今年夏天发生的另一个显着变化是演员的目标对象。在我们之前的 2022 年底至 2023 年 3 月报告中,我们指出,传输到 C2 的大部分数据来自拉丁美洲和欧洲。根据我们的遥测数据,该活动集群背后的参与者将重点转向台湾实体,并被观察到正在研究美国国防部。可能表明战略转变,这将与最近针对美国实体(例如Storm-0558和Volt Typhoon的行动)的一系列针对中国的行动的报道相一致。目前,Black Lotus Labs 将 HiatusRAT 作为一个独特的活动集群进行追踪,该集群似乎与任何公开报告都没有重叠。
通过损害外围资产(例如边缘网络设备)来建立对高价值目标的访问是业界观察到的针对中国参与者的多个垂直行业的策略。我们怀疑 HiatusRAT 集群是另一个可以用来攻击美国国防工业基地而不受惩罚的间谍手段的例子。我们建议国防承包商谨慎行事并监控其网络设备是否存在 HiatusRAT。对手已表现出有兴趣针对较小的 DIB 公司和那些支持台湾进行情报收集的公司。
企业应考虑:
1) 全面的安全访问服务边缘 (SASE) 或类似的解决方案,使用基于 VPN 的访问来保护数据并增强其安全状况。
2) 启用最新的加密协议以帮助保护传输中的数据,例如仅使用依赖于 SSL 和 TLS 的电子邮件服务。更安全的电子邮件服务的示例包括安全简单邮件传输协议(在 RFC 2821 中定义,并使用无法建立安全连接时终止的功能)、加密 IMAP 和加密 POP3(在 RFC 2595 中定义,使用端口 993 和 995)。
拥有自我管理路由器的消费者应遵循最佳实践并定期监控、重新启动和安装安全更新和补丁。应使用供应商支持的型号替换报废设备,以确保针对已知漏洞进行修补。
IOC
Heartbeat server
104.250.48[.]192 Upload server
46.8.113[.]227 Procured VPSs
207.246.80[.]240
45.63.70[.]57
155.138.213[.]169
66.135.22[.]245
107.189.11[.]105 Malware hashes
Mips32
sha256:774f2f3a801ddfe5d8a9ab1b90398ee28ee2be3d7ad0fa75eacbdf7ab51f6939
sha256:766e13d2a085c7c1b5e37fe0be92658932a13cfbcadf5b08977420fc6ac6d3e3 Mips64
sha256:193481c4e2cbd14a29090f500f88455e1394140b9c5857937f86d2b854b54f60
sha256:3a21599e0a60b4bce8d31757f0b461a217f30d0ea261f5844004b8cc09fcab35 Arm
sha256:3a21599e0a60b4bce8d31757f0b461a217f30d0ea261f5844004b8cc09fcab35 Intel 80386
sha256:a878b0ca6c99e82127cc9ef5e83b5dac5f1f8b9798580346e33e6d6f16267b73 Intel i386
sha256:6e21e42cfb93fc2ab77678b040dc673b88af31d78fafe91700c7241337fc5db2 x86-64
sha256:98ec46ac0e3b0b49140f710d0437e03e1f89f9b6fc092be7a5a1fde7d59e312e 参考链接: https://blog.lumen.com/hiatusrat-takes-little-time-off-in-a-return-to-action/
图片来源网络目标可联系删除
