FBIは本日、新たなマルウェアHiatusRATが、オンラインで公開されている脆弱なウェブカメラやDVRをスキャンし、感染させていると警告した。
月曜日に公表された民間業界向け通知(PIN)によると、攻撃者は、セキュリティ・パッチを待っている、あるいはすでに寿命が尽きている中国ブランドのデバイスに攻撃を集中している。
「2024年3月、HiatusRATの攻撃者は、米国、オーストラリア、カナダ、ニュージーランド、英国のモノのインターネット(IoT)デバイスを標的としたスキャンキャンペーンを実施した。“行為者はウェブカメラやDVRをスキャンし、CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-2021-36260、ベンダー提供の脆弱なパスワードなどの脆弱性を探った。”
脅威者は主に、オープンソースのウェブカメラ脆弱性スキャンツールであるIngramと、オープンソースの認証ブルートフォースツールであるMedusaを使用して、TelnetアクセスでHikvisionとXiongmaiデバイスをターゲットにしています。
この攻撃は、23、26、554、2323、567、5523、8080、9530、56575のTCPポートがインターネットアクセスに公開されているウェブカメラとDVRを標的としていた。
FBIは、HiatusRATによるマルウェア攻撃が成功した後、侵入や横行しようとする試みを阻止するために、本日のPINで言及されたデバイスの使用を制限するか、またはそれらのデバイスをネットワークの他の部分から隔離するよう、ネットワーク防御者に助言した。また、システム管理者やサイバーセキュリティの専門家に対し、侵害の兆候(IOC)が疑われる場合には、FBIのインターネット犯罪苦情センターまたは最寄りのFBI支部に連絡するよう呼びかけている。
このキャンペーンは、国防総省のサーバーを標的とした偵察攻撃と、北米、ヨーロッパ、南米の100以上の企業がDrayTek Vigor VPNルーターをHiatusRATに感染させ、秘密のプロキシ・ネットワークを構築した一連の攻撃である。
HiatusRATを最初に発見したサイバーセキュリティ企業であるLumen社によると、このマルウェアは主に感染したデバイス上に追加のペイロードを展開するために使用され、感染したシステムをコマンド・アンド・コントロール・サーバー通信用のSOCKS5プロキシに変換するとのことです。
HiatusRATの標的嗜好の変化と情報収集は、中国の戦略的利益と一致しており、この関連性は国家情報長官室(Office of the Director of National Intelligence)の2023年年次脅威評価でも強調されている。
Comments