cyber-4444450_640.jpg

Campanha mira DVRs e câmeras na web

O FBI publicou ontem um alerta sobre uma nova série de ataques usando o malware HiatusRAT, visando webcams vulneráveis ​​e gravadores de vídeo digital conectados à Internet. Os ataques visam principalmente dispositivos fabricados na China que não receberam atualizações de segurança ou que já atingiram o fim do seu ciclo de vida (e não receberão mais patches).

Leia também
Firewalls em chamas: 5 anos barrando chineses
I.A. já é foco de 10% dos ethical hackers

De acordo com a notificação, em março de 2024, os invasores escanearam dispositivos IoT nos EUA, Austrália, Canadá, Nova Zelândia e Reino Unido. Os principais alvos foram webcams e DVRs contendo vulnerabilidades CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 e senhas fracas definidas pelos fabricantes.

Os hackers estão explorando ativamente dispositivos das marcas Hikvision e Xiongmai com acesso via telnet. O ataque usa o Ingram, uma ferramenta para encontrar vulnerabilidades de webcams, e o Medusa, um programa para autenticação de dados por força bruta. Os cibercriminosos têm como alvo as portas TCP 23, 26, 554, 2323, 567, 5523, 8080, 9530 e 56575, que estão expostas à Internet.

O FBI recomenda limitar o uso desses dispositivos ou isolá-los do resto da rede para evitar hackers e uma maior propagação da ameaça. Os administradores de sistema e profissionais de segurança cibernética são incentivados a relatar sinais suspeitos de comprometimento ao Internet Crime Complaint Center (IC3) do FBI ou aos escritórios de agências locais.

A campanha atual dá continuidade a uma série de campanhas, incluindo uma onda de ataques aos roteadores DrayTek Vigor, que resultou no comprometimento de mais de uma centena de empresas na América do Norte, Europa e América do Sul. O malware HiatusRAT foi usado para criar uma rede proxy oculta em dispositivos infectados.

Os especialistas da Lumen que descobriram o HiatusRAT observam que o objetivo principal do software é implantar componentes maliciosos adicionais e transformar dispositivos comprometidos em proxies SOCKS5 para comunicação com servidores C2. A mudança das prioridades de ataque e dos padrões de recolha de informações alinha-se com os interesses estratégicos da China.

Подробнее: https://www.securitylab.ru/news/554858.php