آذر ۲۷, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • FBI حملات بدافزار HiatusRAT را که دوربین‌های وب و دستگاه‌های ضبط ویدئویی را هدف قرار می‌دهند، شناسایی کرد.

FBI حملات بدافزار HiatusRAT را که دوربین‌های وب و دستگاه‌های ضبط ویدئویی را هدف قرار می‌دهند، شناسایی کرد.

FBI هشدار داد که حملات جدید بدافزار HiatusRAT اکنون در حال اسکن کردن و آلوده کردن دوربین‌های وب و دستگاه‌های ضبط ویدئویی (DVR) آسیب‌پذیری هستند که به‌صورت آنلاین در معرض دید قرار دارند.

همان‌طور که یک اعلان صنعتی خصوصی (PIN) که روز دوشنبه منتشر شد توضیح می‌دهد، مهاجمان تمرکز حملات خود را بر دستگاه‌های برند چینی گذاشته‌اند که هنوز منتظر وصله‌های امنیتی هستند یا دوره پشتیبانی آن‌ها به پایان رسیده است.

FBI اعلام کرد: در مارس ۲۰۲۴، عاملان HiatusRAT یک کارزار اسکن را اجرا کردند که دستگاه‌های اینترنت اشیاء (IoT) در ایالات متحده، استرالیا، کانادا، نیوزیلند و بریتانیا را هدف قرار می‌داد. این عاملان، دوربین‌های وب و دستگاه‌های ضبط ویدئویی (DVR) را برای یافتن آسیب‌پذیری‌هایی مانند CVE-2017-7921، CVE-2018-9995، CVE-2020-25078، CVE-2021-33044، CVE-2021-36260 و رمزهای عبور ضعیف ارائه‌شده توسط فروشندگان، اسکن کردند.

این مهاجمان به‌طور عمده دستگاه‌های Hikvision و Xiongmai را که به تلنت (Telnet) دسترسی دارند، با استفاده از ابزار Ingram (ابزار متن‌باز اسکن آسیب‌پذیری دوربین وب) و ابزار Medusa (ابزار متن‌باز حمله جستجوی فراگیر برای احراز هویت) هدف قرار می‌دهند.

حملات آن‌ها دوربین‌های وب و دستگاه‌های ضبط ویدئویی (DVR) را هدف قرار داد که پورت‌های TCP شماره ۲۳، ۲۶، ۵۵۴، ۲۳۲۳، ۵۶۷، ۵۵۲۳، ۸۰۸۰، ۹۵۳۰، و ۵۶۵۷۵ آن‌ها در دسترس اینترنت قرار داشت.

اFBI به مدافعان شبکه توصیه کرد که استفاده از دستگاه‌های ذکرشده در اعلان PIN امروز را محدود کرده و/یا آن‌ها را از سایر بخش‌های شبکه‌های خود ایزوله کنند تا از تلاش‌های نفوذ و حرکت جانبی پس از حملات موفق بدافزار HiatusRAT جلوگیری کنند. همچنین، از مدیران سیستم و متخصصان امنیت سایبری خواست تا نشانه‌های مشکوک به نفوذ (IOC) را به مرکز شکایات جرایم اینترنتی اف‌بی‌آی یا دفتر محلی اف‌بی‌آی ارسال کنند.

این کارزار در ادامه دو مجموعه حمله دیگر انجام شده است: یکی که سرور وزارت دفاع را در یک حمله شناسایی هدف قرار داد و موج اولیه دیگری که در آن بیش از صد کسب‌وکار از آمریکای شمالی، اروپا و آمریکای جنوبی، روترهای DrayTek Vigor VPN خود را آلوده به بدافزار HiatusRAT کردند تا یک شبکه پروکسی مخفی ایجاد کنند.

شرکت امنیت سایبری Lumen، که اولین بار HiatusRAT را شناسایی کرد، گفت این بدافزار عمدتاً برای پیاده‌سازی محموله‌های اضافی در دستگاه‌های آلوده استفاده می‌شود و سیستم‌های به خطر افتاده را به پروکسی‌های SOCKS5 برای برقراری ارتباط با سرور فرمان و کنترل (C2) تبدیل می‌کند.

تغییر اولویت هدف‌گیری و جمع‌آوری اطلاعات توسط HiatusRAT با منافع استراتژیک چین همسو است؛ پیوندی که در ارزیابی سالانه تهدید دفتر مدیر اطلاعات ملی در سال ۲۰۲۳ نیز به آن اشاره شده است.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب