El FBI advirtió hoy que nuevos ataques de malware HiatusRAT ahora están buscando e infectando cámaras web y DVR vulnerables expuestos en línea.
Como se explica en una Notificación de la Industria Privada (PIN) publicada el lunes, los atacantes están centrando sus ataques en dispositivos de marca china que aún están esperando parches de seguridad o que ya han llegado al final de su vida útil.
“En marzo de 2024, los actores de HiatusRAT llevaron a cabo una campaña de análisis dirigida a dispositivos de Internet de las cosas (IoT) en los Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido”, afirma el informe. El FBI dijo. “El actor escaneó cámaras web y DVR en busca de vulnerabilidades, incluidas CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 y palabras contraseñas débiles proporcionadas por el proveedor”.
Los actores de amenazas se dirigen principalmente a dispositivos Hikvision y Xiongmai con acceso telnet mediante Ingramuna herramienta de escaneo de vulnerabilidades de cámaras web de código abierto, y Medusauna herramienta de autenticación de fuerza bruta de código abierto.
Sus ataques se dirigieron a cámaras web y DVR con puertos TCP 23, 26, 554, 2323, 567, 5523, 8080, 9530 y 56575 expuestos al acceso a Internet.
El FBI aconsejó a los defensores de la red que limiten el uso de los dispositivos mencionados en el PIN de hoy y/o los aíslen del resto de sus redes para bloquear intentos de intrusión y movimiento lateral tras los ataques de éxito del malware HiatusRAT. También instó a los administradores de sistemas y profesionales de la ciberseguridad a enviar indicios sospechosos de compromiso (IOC) al Centro de Quejas de Delitos en Internet del FBI o a su oficina local del FBI.
Esta campaña sigue a otras dos series de ataques: uno que también tuvo como objetivo un servidor del Ministerio de Defensa en un ataque de reconocimiento y una ola anterior de ataques en la que más de cien empresas en América del Norte, Europa y América del Sur tenían sus enrutadores VPN DrayTek Vigor. . infectado con HiatusRAT para crear una red proxy secreta.
Lumen, la empresa de ciberseguridad que detectó por primera vez a HiatusRAT, dijo que este malware se utiliza principalmente para implementar cargas útiles adicionales en dispositivos infectados, convirtiendo los sistemas comprometidos en servidores proxy SOCKS5 para el comando y control de la comunicación del servidor.
El cambio de HiatusRAT en la selección de preferencias y la recopilación de información se alinea con los intereses estratégicos chinos, una conexión también destacada en el informe de la Oficina del Director de Inteligencia Nacional. Evaluación anual de amenazas 2023.