FBI bugün yeni Hiatusrat kötü amaçlı yazılım saldırılarının, çevrimiçi olarak maruz kalan savunmasız web kameraları ve DVR'leri taradığı ve bulaştığı konusunda uyardı.
Pazartesi günü yayınlanan özel bir endüstri bildiriminin (PIN) açıkladığı gibi, saldırganlar saldırılarını hala güvenlik yamalarını bekleyen veya zaten yaşamın sonuna ulaşmış olan Çin markalı cihazlara odaklıyor.
FBI, "Mart 2024'te Hiatusrat aktörleri, ABD, Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık'ta Nesnelerin İnterneti (IoT) cihazlarını hedefleyen bir tarama kampanyası gerçekleştirdi." Dedi. "Aktörler, CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-36260 ve zayıf satıcı-suppliedpliedplicedprows dahil olmak üzere güvenlik açıkları için Web kameralarını ve DVR'leri taradı."
Tehdit aktörleri ağırlıklı olarak hikvision ve Xiongmai cihazlarını, açık kaynaklı bir web kamera güvenlik açığı tarama aracı olan Ingram ve açık kaynaklı bir kimlik doğrulama kaba kuvvet aracı olan Medusa'yı kullanarak telnet erişimine sahip.
Saldırıları, İnternet erişimine maruz kalan 23, 26, 554, 2323, 567, 5523, 8080, 9530 ve 56575 TCP bağlantı noktaları ile web kameralarını ve DVR'leri hedef aldı.
FBI, ağ savunucularına bugünkü PIN'de belirtilen cihazların kullanımını sınırlamalarını ve/veya başarılı hiatusrat kötü amaçlı yazılım saldırılarını takiben ihlal ve yanal hareket girişimlerini engellemek için ağlarının geri kalanından izole etmelerini tavsiye etti. Ayrıca sistem yöneticilerini ve siber güvenlik profesyonellerini, FBI'ın İnternet Suç Şikayet Merkezi'ne veya yerel FBI saha ofisine şüpheli uzlaşma gösterileri (IOC) göndermeye çağırdı.
Bu kampanya diğer iki saldırı dizisini takip ediyor: biri de bir keşif saldırısında bir savunma departmanı sunucusunu hedefleyen biri ve Kuzey Amerika, Avrupa ve Güney Amerika'dan yüzlerden fazla işletmenin Draytek Vigor VPN yönlendiricilerine sahip olduğu daha önceki bir saldırı dalgası Gizli bir proxy ağı oluşturmak için hiatusrat ile enfekte olmuştur.
Hiatusrat'ı ilk tespit eden siber güvenlik şirketi olan Lumen, bu kötü amaçlı yazılımın esas olarak enfekte olmuş cihazlara ek yükler dağıtmak için kullanıldığını ve tehlikeye atılan sistemleri komut ve kontrol sunucusu iletişimi için SOCKS5 proxy'lerine dönüştürdüğünü söyledi.
Hiatusrat'ın hedefleme tercihi ve bilgi toplama konusundaki değişimi Çin stratejik çıkarlarıyla uyumludur, Ulusal İstihbarat Direktörü 2023 yıllık tehdit değerlendirmesi ofisinde de vurgulanan bir bağlantı.
Yeni Miyarat kötü amaçlı yazılımlarla 'acı' siber hedef savunma orgs hedef
ABD, Çinli bilgisayar korsanlarının birden fazla telekom sağlayıcısını ihlal ettiğini söylüyor
ABD Govt yetkililerinin iletişimi son telekom hackinde tehlikeye atıldı
Bilgisayar korsanları, saldırılarda Winos4.0 Sıkıştırma Sonrası Kitini giderek daha fazla kullanıyor
Kötü niyetli reklamlar sahte captcha sayfaları aracılığıyla lumma infostealer'ı itiyor
Kaynak: Bleeping Computer