ФБР предупреждает, что новые атаки малвари HiatusRAT теперь нацелены на уязвимые веб-камеры и DVR, доступные через интернет.
Напомним, что впервые HiatusRAT был обнаружен в прошлом году исследователями из компании Lumen. Обычно эта малварь используется для развертывания дополнительной полезной нагрузки на зараженных устройствах, превращая взломанные девайсы в прокси-серверы SOCKS5 для передачи команд и трафика управляющего сервера.
В 2023 году исследователи писали, что в основном вредонос атакует устаревшие маршрутизаторы DrayTek Vigor (в частности, моделей 2960 и 3900) в странах Латинской Америки и Европы. Затем были обнаружены атаки на систему военных закупок США, а также организации, базирующиеся на Тайване.
Как теперь сообщает ФБР, операторы HiatusRAT сменили тактику и теперь фокусируются на устройствах китайских брендов, которые уже устарели или еще ждут выхода патчей.
«В марте 2024 года операторы HiatusRAT провели кампанию по поиску устройств интернета вещей (IoT) в США, Австралии, Канаде, Новой Зеландии и Великобритании, — говорится в заявлении ФБР. — Они сканировали веб-камеры и DRV на наличие уязвимостей, включая CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260, а также в поисках слабых паролей по умолчанию».
В основном злоумышленники атаковали устройства компаний Hikvision и Xiongmai, к которым можно получить доступ через telnet. Также многие из перечисленных уязвимостей не были устранены производителям и затрагивают самые разные девайсы, например: CVE-2018-9995 затрагивает CeNova, DVR Login, HVR Login, MDVR Login, Night OWL, Novo, Pulnix, QSee, Securus и XVR 5 in 1, которые представляют собой ребрендинг оригинальных устройств TBK.
Известно, что в новых атаках хакеры использовали Ingram (опенсорсный инструмент для поиска уязвимостей в веб-камерах) и Medusa (опенсорсный брутфорс-инструмент).
Атаки были направлены на веб-камеры и DRV с TCP-портами 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575, открытыми для доступа через интернет.
Теперь ФБР рекомендует администраторам ограничить использование упомянутых устройств, а лучше изолировать их от остальных сетей, чтобы заблокировать попытки возможных атак и бокового перемещения.
