Perusahaan Taiwan dan Militer AS Kembali Diserang Malware HiatusRAT
Pelaku bertanggung jawab atas malware HiatusRAT telah kembali dan kini meluncurkan serangan baru terhadap organisasi di Taiwan dan sistem pengadaan militer AS. Mereka telah memperbarui malware mereka dan menggunakan server baru untuk menampungnya, seperti yang dilaporkan oleh Lumen Black Lotus Labs.
Perusahaan keamanan siber menyebut tindakan ini “sangat berani” dan sepertinya para penyerang tidak berniat untuk memperlambat usaha mereka. Sampai saat ini, tidak diketahui siapa penyerang ini atau dari mana asalnya. Para penyebar malware menargetkan bisnis seperti produsen semikonduktor dan bahan kimia, organisasi pemerintah di Taiwan, dan server Departemen Pertahanan A.S. yang menangani kontrak pertahanan.
Sebelumnya pada bulan Maret 2023 lalu, Lumen Black Lotus Labs mengungkapkan bahwa HiatusRAT telah menargetkan router untuk memata-matai korban yang umumnya berada di wilayah Amerika Latin dan Eropa. Menginfeksi sekitar 100 perangkat jaringan di seluruh dunia untuk mengumpulkan informasi dan membuat jaringan untuk mengendalikan operasi mereka.
Antara pertengahan Juni dan Agustus 2023, penyerang menggunakan versi berbeda dari HiatusRAT yang dirancang khusus untuk berbagai arsitektur komputer. Sebagian besar koneksi ke server malware berasal dari Taiwan.
Sistem HiatusRAT terdiri dari server untuk melakukan serangan dan mengumpulkan informasi yang dikendalikan oleh server tingkat yang lebih tinggi. Para penyerang dilacak menggunakan dua alamat IP yang terhubung ke server Pertahanan A.S. selama sekitar dua jam pada 13 Juni, mentransfer sekitar 11 MB data.
Terkait serangan ini, ada kecurigaan bahwa mereka mungkin mencari informasi yang tersedia terkait kontrak militer saat ini dan masa depan. Baru-baru ini, pelaku ancaman yang terhubung dengan Tiongkok telah mengeksploitasi kerentanan keamanan pada perangkat Fortinet dan SonicWall yang tidak dilindungi agar tetap tersembunyi dalam sistem yang ditargetkan.
Meskipun informasi sebelumnya tentang alat dan kemampuan mereka telah terungkap, para pelaku penyebar malware HiatusRAT hanya melakukan sedikit perubahan pada operasi mereka, seperti menukar server, dan melanjutkan tanpa mengkonfigurasi ulang infrastruktur kontrol mereka, menurut perusahaan keamanan siber.