一个以Mirai为基础的新型僵尸网络正逐渐变得更为复杂,现在正在利用工业路由器和智能家居设备安全漏洞的零日漏洞进行攻击。
据Chainxin X Lab研究人员监测,该僵尸网络的发展和攻击始于2024年11月,开始利用之前未知的漏洞。
其中一个安全问题是CVE-2024-12856,这是Four-Faith工业路由器的一个漏洞,VulnCheck在12月底发现,但注意到在12月20日左右已有人试图利用该漏洞。
该僵尸网络还依赖于针对Neterbit路由器和Vimar智能家居设备中未知漏洞的自定义漏洞利用程序。
它于去年2月被发现,目前拥有15,000个每日活跃僵尸节点,主要分布在中国、美国、俄罗斯、土耳其和伊朗。
其主要目标似乎是为了盈利而对指定目标进行分布式拒绝服务(DDoS)攻击,每天针对数百个实体,活动在2024年10月和11月达到高峰。
目标国家
该恶意软件利用20多个漏洞的公共和私有漏洞利用程序,传播到暴露在互联网上的设备,针对数字视频录像机(DVR)、工业和家庭路由器以及智能家居设备。
具体来说,它针对以下设备:
- ASUS路由器(通过N日漏洞利用程序)
- 华为路由器(通过CVE-2017-17215)
- Neterbit路由器(自定义漏洞利用程序)
- LB-Link路由器(通过CVE-2023-26801)
- Four-Faith工业路由器(通过现在被追踪为CVE-2024-12856的零日漏洞)
- PZT摄像机(通过CVE-2024-8956和CVE-2024-8957)
- Kguard DVR
- Lilin DVR(通过远程代码执行漏洞利用程序)
- 通用DVR(使用如TVT editBlackAndWhiteList RCE等漏洞利用程序)
- Vimar智能家居设备(可能使用未公开的漏洞)
- 各种5G/LTE设备(可能通过配置错误或弱凭据)
该僵尸网络具有针对弱Telnet密码的暴力破解模块,使用具有唯一签名的自定义UPX打包,并实现基于Mirai的命令结构,用于更新客户端、扫描网络和进行DDoS攻击。
X Lab报告称,该僵尸网络的DDoS攻击持续时间短,在10到30秒之间,但强度很高,流量超过100 Gbps,即使对于坚固的基础设施也会造成中断。
“攻击目标遍布全球,分布在各行各业,”X Lab解释说。
“攻击的主要目标分布在中国、美国、德国、英国和新加坡,”研究人员说。
总体而言,该僵尸网络展示了利用N日甚至零日漏洞在多种设备类型上保持高感染率的独特能力。
用户可以遵循一般建议来保护他们的设备,即安装来自供应商的最新设备更新,如果不需要则禁用远程访问,并更改默认管理帐户凭据。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容