Aqua Nautilus 研究人员发现了一个由 Matrix 发起的一系列大规模 DDoS 攻击活动,该活动可能是俄罗斯威胁组织发起。
Aqua Nautilus 的网络安全研究人员发现了一个名为 Matrix 的威胁组织发起的新型分布式拒绝服务 ( DDoS ) 活动,利用现成的工具和最低限度的技术专长。
根据 Aqua Nautilus 的调查结果,Matrix(研究人员将其称为脚本小子)的目标是庞大的互联网IoT设备,包括物联网设备、摄像头、路由器、DVR 和企业系统。
攻击者使用不同的技术,主要依靠暴力攻击,利用弱密码和错误配置来获取初始访问权限。
一旦被入侵,设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。
根据 Aqua Nautilus 的博客文章,尽管最初有迹象表明该攻击与俄罗斯有关,但乌克兰目标的缺失表明该攻击主要关注的是经济利益,而非政治目的。
Matrix 创建了一个 Telegram 机器人 Kraken Autobuy,以销售针对第 4 层(传输层)和第 7 层(应用层)攻击的 DDoS 攻击服务,进一步强调了该攻击活动的商业化。
该活动利用了近期和之前的一系列漏洞,其中包括:
CVE-2014-8361
CVE-2017-17215
CVE-2018-10562
CVE-2022-30525
CVE-2024-27348
CVE-2018-10561
CVE-2018-9995
CVE-2018-9995
CVE-2017-18368
CVE-2017-17106
这些漏洞与广泛存在的弱凭证相结合,为恶意攻击者创造了巨大的攻击面。大多数活动(约 95%)发生在工作日。
Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本,主要用 Python、Shell 和 Golang 编写。
研究人员指出:“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件(主要是 Mirai 和其他 DDoS 相关工具)的工具。”
截图显示使用弱凭证成功登录摄像头面板(通过 Aqua Nautilus)
另一方面,Virus Total 发现用于发起 DDoS 攻击的各种工具,包括 DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack 和 Homo Network。
这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击,以及利用 Discord 进行通信和远程控制。
此次攻击活动的潜在影响十分巨大,数千万台联网设备可能面临风险。
研究人员指出:“近 3500 万台设备存在风险。如果 1% 的设备受到攻击,僵尸网络可能覆盖 35 万台设备;如果 5% 的设备受到攻击,僵尸网络可能覆盖 170 万台设备,与过去发生的重大攻击不相上下。”
主要影响是服务器拒绝服务,扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用,影响依赖它们的企业。观察到针对 ZEPHYR 的有限加密货币挖掘操作,但产生的经济收益微乎其微。
为了保证安全,组织应该优先考虑强有力的安全实践,如定期修补、强密码策略、网络分段、入侵检测系统、Web 应用程序防火墙和定期安全审核,以减少遭受DDoS 攻击和其他网络威胁的风险。
技术报告:https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/xx3FkgaS4rGsEhZwmMHvCQ
暂无评论内容