HiatusRATは、リモートアクセス型マルウェアです。
IoTデバイスをターゲットとして大きく展開されてきていますが、また新たな脅威キャンペーンが展開されています。
- 入口
入口はウェブカメラやデジタルビデオレコーダーです。
こういった機器はいろいろな場所で利用されています。
そして、インターネットに接続されて利用されている場合も多くあります。
このような外部公開されているウェブカメラなどが標的となっています。 - 手口
手口は、脆弱なバージョンと脆弱なパスワードを狙う、です。
今回のキャンペーンでは、CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-2021-36260、といった脆弱性が狙われています。
ベンダーの設定したデフォルトのパスワードのままで利用されている機器も狙われます。
これらを発見するために、脅威アクターは複数のオープンソースのツールを使用しています。
ウェブカメラ脆弱性スキャンツールや認証ブルートフォースツールです。
これらはいずれもGitHubで公開されているものです。 - HiatusRATの仕事
足掛かりを得ると、脅威アクターはHiatusRATを設置します。
設置されたHiatusRATは侵害環境で追加のペイロードを展開します。
そして、C2との通信環境を整えます。
対策はいつもの通りにできそうです。
ネットワークからの接続は最小限になるようにしましょう。
接続制限以外の設定も利用に適した状態に保ちましょう。
適用できる製品のパッチはタイムリーに適用しましょう。
パッチも提供されないような古い機器は、メンテナンスされている新しいものに入れ替えるのがよさそうです。
壊れていないのに入れ替えるのは大変ですが、安全にはかえられません。
Private Industry Notification 20241216-001
https://www.ic3.gov/CSA/2024/241216.pdf
| この記事をシェア |
|
|---|
