美國聯邦調查局 (FBI) 週一發布了一份私營行業通知 (PIN),提醒組織注意針對中國品牌網路攝影機和 DVR 的新一波 HiatusRAT 惡意軟體攻擊。
“HiatusRAT 是一種遠端存取木馬 (RAT),其最新版本可能自 2022 年 7 月以來就已使用。惡意網路攻擊者通常使用 RAT 遠端接管和控制目標設備。”聯邦調查局表示。
「Hiatus 活動最初針對的是過時的網路邊緣設備。網路安全公司還觀察到這些行為者使用惡意軟體針對一系列台灣組織,並對用於提交和檢索國防合約提案的美國政府伺服器進行偵察。
這項掃描活動於 2024 年 3 月首次發現,針對美國、澳洲、加拿大、紐西蘭和英國等國家的易受攻擊的物聯網 (IoT) 設備,特別是網路攝影機和 DVR。
據FBI 稱,HiatusRAT 惡意軟體背後的威脅行為者掃描了網路攝影機和DVR 中的漏洞,包括CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-201 -36260、以及供應商提供的弱密碼。其中許多漏洞仍未得到供應商的解決。
此外,威脅行為者特別針對海康威視和雄邁等中國品牌產品,這些產品的 Telnet 存取權限已過時或未打補丁。
Ingram(一種針對網路攝影機漏洞的開源掃描器)等工具用於進行掃描活動,而 Medusa(一種開源暴力身份驗證破解工具)則用於針對具有 telnet 存取權限的海康威視攝影機。
該惡意軟體的掃描目標是具有暴露於網路存取的 23、26、554、2323、567、5523、8080、9530 和 56575 TCP 連接埠的網路攝影機和 DVR。
一旦滲透,受感染的系統將轉換為 SOCKS5 代理,促進與命令和控制伺服器的秘密通訊並實現進一步的惡意軟體部署。
在 HiatusRAT 惡意軟體攻擊成功後,FBI 強烈建議網路管理員透過隔離和/或更換易受攻擊的裝置來限制 PIN 中提到的裝置的使用,以防止網路漏洞和橫向移動。
該機構還敦促系統管理員和網路安全專業人員監控妥協跡象(IOC),並向聯邦調查局網路犯罪投訴中心或當地辦事處報告任何可疑活動。
