黑客组织正在利用Cambium Networks cnPilot路由器中的未披露零日漏洞,部署一种名为AIRASHI的AISURU僵尸网络变种,用于发动分布式拒绝服务(DDoS)攻击。
据奇安信XLab披露,这些攻击自2024年6月起就已利用该漏洞实施。为防止漏洞被进一步滥用,相关技术细节暂未公开。除此之外,该僵尸网络还利用了多个已知漏洞,包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-28771,以及针对AVTECH摄像机、LILIN DVR设备和深圳天网科技设备的漏洞。
奇安信XLab指出,“AIRASHI的运营者在Telegram上发布了DDoS攻击能力测试结果。从历史数据来看,AIRASHI僵尸网络的攻击能力稳定在1-3 Tbps之间。”
大部分受感染设备位于巴西、俄罗斯、越南和印度尼西亚,而主要攻击目标包括中国、美国、波兰和俄罗斯。
AIRASHI是AISURU(又称NAKOTNE)僵尸网络的变种。2024年8月,奇安信首次检测到该僵尸网络在Steam平台发起DDoS攻击,时间与游戏《黑神话:悟空》上线相吻合。
AIRASHI僵尸网络持续更新,其中部分变种还整合了代理功能,显示威胁组织意图将其服务范围扩展至DDoS攻击之外。据悉,AISURU在2024年9月一度暂停活动,随后于10月卷土重来,并在11月底再次更新功能,此时已更名为AIRASHI。
XLab表示,“名为‘kitty’的样本在2024年10月初开始传播。与以往AISURU样本相比,kitty简化了网络协议,并在10月底开始使用SOCKS5代理与C2服务器通信。”
AIRASHI至少存在两种版本:
- AIRASHI-DDoS(2024年10月底首次检测),主要用于DDoS攻击,同时支持任意命令执行和反向Shell访问。
- AIRASHI-Proxy(2024年12月初首次检测),是AIRASHI-DDoS的修改版,新增代理功能。
该僵尸网络通过DNS查询不断调整方法获取C2服务器信息,并采用全新网络协议,使用HMAC-SHA256和CHACHA20算法进行通信。此外,AIRASHI-DDoS支持13种消息类型,而AIRASHI-Proxy仅支持5种。
研究显示,黑客持续利用物联网设备漏洞作为初始入侵点,并通过这些设备组建僵尸网络,助推大规模DDoS攻击的实施。
与此同时,奇安信还披露了一种跨平台后门程序alphatronBot,该恶意软件自2023年初起活跃,目标包括中国政府及企业,其利用被感染的Windows和Linux系统组建僵尸网络。此后门程序采用合法的开源点对点(P2P)聊天应用PeerChat与其他感染节点通信。
P2P协议的去中心化特性使得攻击者无需通过单一C2服务器,即可通过任意受感染节点发布命令,从而大幅提高僵尸网络对拆除行动的抵抗力。
“该后门程序内置的700多个P2P网络涵盖80个国家和地区的感染设备,包括MikroTik路由器、海康威视摄像机、VPS服务器、DLink路由器和CPE设备等。”奇安信指出。
此外,XLab去年还详细分析了一种名为DarkCracks的复杂隐秘载荷投递框架,该框架利用受感染的GLPI和WordPress网站充当下载器和C2服务器。
“其主要目标是收集受感染设备的敏感信息,维持长期访问,并利用受感染的高性能设备作为中继节点控制其他设备或分发恶意载荷,从而有效掩盖攻击者的痕迹。”XLab补充道,“被感染的系统涉及多个国家的重要基础设施,包括学校网站、公共交通系统和监狱访客系统。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容