HiatusRAT恶意软件攻击引关注

关键要点

研究人员表示，Lumen的Black LotusLabs发现，针对美国国防部服务器的HiatusRAT恶意软件攻击可能与最近其他针对间谍活动的行动有关，这些行动被认为与中国有联系。攻击者利用该恶意软件对美国军方服务器进行了侦察，该服务器用于提交和检索国防合同提案，同时还针对多家台湾组织。

在8月17日的中，研究人员表示，6月的攻击标志着攻击者在信息收集和目标偏好上的“转变”，这些攻击者之前在3月进行过。

3月的活动主要集中在拉丁美洲和欧洲组织，目标是商用小型办公室/家庭办公室(SOHO)路由器，并部署了新型的远程访问木马（RAT），该恶意软件被黑莲实验室称为”HiatusRAT”。

研究人员指出，该组织的策略转变表明，他们可能在“战略转变”，这与最近关于针对美国实体的中国导向行动的报道相一致，例如和。

黑莲实验室认为，该组织的修订策略与（PDF）中提到的中华人民共和国的战略利益相符。

“尽管我们之前有报道，但该组织几乎没有中断地继续其行动；在一个真正大胆的举动中，他们重新编译了针对不同架构的恶意软件样本，并包含了之前识别的C2（指挥与控制）服务器，”研究人员说。

在6月13日的观察中，研究人员发现，在大约两个小时内，有超过11MB的双向数据在美国国防部服务器和攻击者之间传输。

“我们怀疑该攻击者在寻找与当前和未来军事合同相关的公开资源，”研究人员表示。“鉴于该网站与合同提案的关联，我们怀疑其目标是获取关于军事要求的公开信息，并寻找与国防工业基地相关的组织，可能是为了后续目标。”

“虽然我们承认所有的威胁行为者在公开披露方面有不同的容忍度，但该活动集群被认为是黑莲实验室观察到的最大胆的之一。”

尽管该恶意软件的工具和能力已经被报道，研究人员指出，该威胁组织仅“最小程度地更换了现有的有效负载服务器，继续其操作，甚至没有尝试重新配置他们的C2基础设施”。

黑莲实验室警告称，HiatusRAT活动似乎是针对国防工业基地进行攻击的新鲜例子，这种攻击几乎没有惩罚感，表现出对较小DIB企业，特别是支持台湾的公司的兴趣。“我们建议国防承包商保持谨慎，并监控其网络设备是否存在HiatusRAT。”