Раскрыта изощренная стратегия взлома IoT-устройств.
ФБР предупредило о новой кампании атак с использованием вредоносного ПО HiatusRAT, нацеленной на уязвимые веб-камеры и цифровые видеорегистраторы, подключенные к интернету. Атаки направлены преимущественно на устройства китайского производства, которые не получили обновления безопасности или уже достигли конца жизненного цикла.
Согласно уведомлению, злоумышленники в марте 2024 года провели сканирование IoT-устройств в США, Австралии, Канаде, Новой Зеландии и Великобритании. Главной целью стали веб-камеры и DVR, содержащие уязвимости CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 и слабые пароли, установленные производителями.
Хакеры активно эксплуатируют устройства марок Hikvision и Xiongmai с доступом через telnet. Для атаки используются Ingram, инструмент для поиска уязвимостей веб-камер, и Medusa, программа для перебора аутентификационных данных. Киберпреступники нацеливаются на TCP-порты 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575, открытые для доступа из интернета.
ФБР рекомендует ограничить использование упомянутых устройств или изолировать их от остальных элементов сети для предотвращения взломов и дальнейшего распространения угрозы. Системным администраторам и специалистам по кибербезопасности рекомендуется направлять предполагаемые признаки компрометации в Центр жалоб на интернет-преступления ФБР (IC3) или местные офисы ведомства.
Текущая кампания продолжает серию кампаний, среди которых – волна атак на маршрутизаторы DrayTek Vigor, в результате которых более сотни компаний в Северной Америке, Европе и Южной Америке подверглись компрометации. Вредоносное ПО HiatusRAT использовалось для создания скрытой прокси-сети на зараженных устройствах.
Специалисты Lumen, обнаружившие HiatusRAT, отмечают, что основная цель ПО — развёртывание дополнительных вредоносных компонентов и превращение взломанных устройств в SOCKS5-прокси для связи с C2-серверами. Изменение приоритетов атак и характера сбора информации совпадает со стратегическими интересами Китая.
Подробнее: https://www.securitylab.ru/news/554858.php
Согласно уведомлению, злоумышленники в марте 2024 года провели сканирование IoT-устройств в США, Австралии, Канаде, Новой Зеландии и Великобритании. Главной целью стали веб-камеры и DVR, содержащие уязвимости CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260 и слабые пароли, установленные производителями.
Хакеры активно эксплуатируют устройства марок Hikvision и Xiongmai с доступом через telnet. Для атаки используются Ingram, инструмент для поиска уязвимостей веб-камер, и Medusa, программа для перебора аутентификационных данных. Киберпреступники нацеливаются на TCP-порты 23, 26, 554, 2323, 567, 5523, 8080, 9530 и 56575, открытые для доступа из интернета.
ФБР рекомендует ограничить использование упомянутых устройств или изолировать их от остальных элементов сети для предотвращения взломов и дальнейшего распространения угрозы. Системным администраторам и специалистам по кибербезопасности рекомендуется направлять предполагаемые признаки компрометации в Центр жалоб на интернет-преступления ФБР (IC3) или местные офисы ведомства.
Текущая кампания продолжает серию кампаний, среди которых – волна атак на маршрутизаторы DrayTek Vigor, в результате которых более сотни компаний в Северной Америке, Европе и Южной Америке подверглись компрометации. Вредоносное ПО HiatusRAT использовалось для создания скрытой прокси-сети на зараженных устройствах.
Специалисты Lumen, обнаружившие HiatusRAT, отмечают, что основная цель ПО — развёртывание дополнительных вредоносных компонентов и превращение взломанных устройств в SOCKS5-прокси для связи с C2-серверами. Изменение приоритетов атак и характера сбора информации совпадает со стратегическими интересами Китая.
Подробнее: https://www.securitylab.ru/news/554858.php