FBI 警告 HiatusRAT 恶意软件针对网络摄像头和其他物联网设备

美国联邦调查局 (FBI) 周一发布了一份私营行业通知 (PIN)，提醒组织注意针对中国品牌网络摄像机和 DVR 的新一波 HiatusRAT 恶意软件攻击。

“HiatusRAT 是一种远程访问木马 (RAT)，其最新版本可能自 2022 年 7 月以来就已使用。恶意网络攻击者通常使用 RAT 远程接管和控制目标设备。”联邦调查局表示。

“Hiatus 活动最初针对的是过时的网络边缘设备。网络安全公司还观察到这些行为者使用恶意软件针对一系列台湾组织，并对用于提交和检索国防合同提案的美国政府服务器进行侦察。”

该扫描活动于 2024 年 3 月首次发现，针对美国、澳大利亚、加拿大、新西兰和英国等国家的易受攻击的物联网 (IoT) 设备，特别是网络摄像头和 DVR。

据 FBI 称，HiatusRAT 恶意软件背后的威胁行为者扫描了网络摄像头和 DVR 中的漏洞，包括 CVE-2017-7921、CVE-2018-9995、CVE-2020-25078、CVE-2021-33044、CVE-2021-36260、以及供应商提供的弱密码。其中许多漏洞仍未得到供应商的解决。

此外，威胁行为者特别针对海康威视和雄迈等中国品牌产品，这些产品的 Telnet 访问权限已过时或未打补丁。

Ingram（一种针对网络摄像头漏洞的开源扫描仪）等工具用于进行扫描活动，而 Medusa（一种开源暴力身份验证破解工具）则用于针对具有 telnet 访问权限的海康威视摄像头。

该恶意软件的扫描目标是具有暴露于互联网访问的 23、26、554、2323、567、5523、8080、9530 和 56575 TCP 端口的网络摄像头和 DVR。

一旦渗透，受感染的系统将转换为 SOCKS5 代理，促进与命令和控制服务器的秘密通信并实现进一步的恶意软件部署。

在 HiatusRAT 恶意软件攻击成功后，FBI 强烈建议网络管理员通过隔离和/或更换易受攻击的设备来限制 PIN 中提到的设备的使用，以防止网络漏洞和横向移动。

该机构还敦促系统管理员和网络安全专业人员监控妥协迹象（IOC），并向联邦调查局互联网犯罪投诉中心或当地办事处报告任何可疑活动。