A FBI emitiu hoje um alerta sobre novos ataques de malware HiatusRAT, que agora estão vasculhando e infectando câmeras web e DVRs vulneráveis expostos online.
Conforme uma notificação para a indústria privada (PIN) publicada na segunda-feira explica, os atacantes focam seus ataques em dispositivos de marcas chinesas que ainda estão aguardando patches de segurança ou já alcançaram o fim de sua vida útil.
"Em março de 2024, os atores do HiatusRAT conduziram uma campanha de escaneamento visando dispositivos da Internet das Coisas (IoT) nos EUA, Austrália, Canadá, Nova Zelândia e Reino Unido," disse a FBI.
Os atores escanearam câmeras web e DVRs por vulnerabilidades incluindo
CVE-2017-7921
,
CVE-2018-9995
,
CVE-2020-25078
,
CVE-2021-33044
,
CVE-2021-36260
, e senhas fracas fornecidas pelo fabricante.
Os atores de ameaça visam predominantemente dispositivos Hikvision e Xiongmai com acesso telnet usando Ingram, uma ferramenta open-source de escaneamento de vulnerabilidades em câmeras web, e Medusa, uma ferramenta open-source de força bruta de autenticação.
Seus ataques visaram câmeras web e DVRs com os portos TCP 23, 26, 554, 2323, 567, 5523, 8080, 9530, e 56575 expostos ao acesso à Internet.
A FBI aconselhou os defensores de redes a limitar o uso dos dispositivos mencionados na PIN de hoje e/ou isolá-los do resto de suas redes para bloquear tentativas de violação e movimento lateral após ataques bem-sucedidos do malware HiatusRAT.
Também instou administradores de sistema e profissionais de cibersegurança a enviar indicações suspeitas de comprometimento (IOC) para o Centro de Reclamações de Crimes na Internet da FBI ou para seu escritório local da FBI.
Esta campanha segue duas outras séries de ataques: uma que também visava um servidor do Departamento de Defesa em um ataque de reconhecimento e uma onda anterior de ataques em que mais de uma centena de empresas da América do Norte, Europa e América do Sul tiveram seus roteadores VPN DrayTek Vigor infectados com HiatusRAT para criar uma rede de proxy encoberta.
Lumen, a empresa de cibersegurança que primeiro identificou o HiatusRAT, disse que este malware é principalmente usado para implantar payloads adicionais em dispositivos infectados, convertendo os sistemas comprometidos em proxies SOCKS5 para comunicação com servidor de comando e controle.
A mudança de HiatusRAT no foco de ataque e na coleta de informações está alinhada com os interesses estratégicos chineses, uma conexão também destacada no relatório de avaliação de ameaças anual de 2023 do Office of the Director of National Intelligence.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...