(https://i.postimg.cc/7Yps31Z3/Hiatus-RAT.png) (https://postimg.cc/YhzzkWg0)
El FBI advirtió hoy que los nuevos ataques de malware HiatusRAT están escaneando e infectando cámaras web y DVR vulnerables que están expuestos en línea.
Como explica una notificación de la industria privada (PIN) publicada el lunes, los atacantes centran sus ataques en dispositivos de marca china que todavía están esperando parches de seguridad o que ya han llegado al final de su vida útil.
"En marzo de 2024, los actores de HiatusRAT llevaron a cabo una campaña de escaneo dirigida a dispositivos de Internet de las cosas (IoT) en los EE. UU., Australia, Canadá, Nueva Zelanda y el Reino Unido", dijo el FBI. "Los actores escanearon cámaras web y DVR en busca de vulnerabilidades, incluidas CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 y contraseñas débiles proporcionadas por el proveedor".
Los actores de amenazas se dirigen principalmente a dispositivos Hikvision y Xiongmai con acceso telnet mediante Ingram, una herramienta de escaneo de vulnerabilidades de cámaras web de código abierto y Medusa, una herramienta de fuerza bruta de autenticación de código abierto.
Sus ataques se dirigieron a cámaras web y DVR con los puertos TCP 23, 26, 554, 2323, 567, 5523, 8080, 9530 y 56575 expuestos al acceso a Internet.
El FBI recomendó a los defensores de la red que limiten el uso de los dispositivos mencionados en el PIN de hoy y/o los aíslen del resto de sus redes para bloquear los intentos de violación y movimiento lateral después de los ataques exitosos del malware HiatusRAT. También instó a los administradores de sistemas y profesionales de la ciberseguridad a enviar indicios sospechosos de compromiso (IOC) al Centro de denuncias de delitos en Internet del FBI o a su oficina local del FBI.
Esta campaña sigue a otras dos series de ataques: uno que también tuvo como objetivo un servidor del Departamento de Defensa en un ataque de reconocimiento y una ola anterior de ataques en la que más de cien empresas de América del Norte, Europa y América del Sur tenían sus enrutadores VPN DrayTek Vigor infectados con HiatusRAT para crear una red proxy encubierta.
Lumen, la empresa de ciberseguridad que detectó por primera vez HiatusRAT, dijo que este malware se utiliza principalmente para implementar cargas útiles adicionales en dispositivos infectados, convirtiendo los sistemas comprometidos en servidores proxy SOCKS5 para la comunicación del servidor de comando y control.
El cambio de HiatusRAT en la preferencia de objetivos y la recopilación de información se alinea con los intereses estratégicos chinos, un vínculo que también se destaca en la evaluación anual de amenazas de 2023 de la Oficina del Director de Inteligencia Nacional.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/fbi-spots-hiatusrat-malware-attacks-targeting-web-cameras-dvrs/