一个新的基于 Mirai 的僵尸网络利用了多个设备中的漏洞,主要针对未修补的 DigiEver DS-2105 Pro NVR、TP-Link 路由器上过时的固件以及 Teltonika RUT9XX 路由器。该活动于 10 月份开始,活跃的利用活动可以追溯到 9 月份。 Akamai 研究人员已确认正在进行的攻击,这些攻击利用多个远程代码执行缺陷将设备纳入僵尸网络进行恶意活动。
新的 Mirai 僵尸网络利用各种设备中的漏洞
该僵尸网络针对 DigiEver NVR 中的特定远程代码执行 (RCE) 漏洞,该漏洞涉及“/cgi-bin/cgi_main.cgi”URI 中的不正确输入验证。黑客可以通过 HTTP POST 请求中的 ntp 字段等参数远程注入“curl”和“chmod”等命令。 TXOne 的 Ta-Lun Yen 之前 突出显示 该漏洞在 DefCamp 安全会议上的演示中指出了它对各种 DVR 设备的影响。
除了 DigiEver 缺陷之外,Mirai 变种还利用 CVE-2023-1389 在 TP-Link 设备和 CVE-2018-17532 在 Teltonika RUT9XX 路由器中。研究人员指出,虽然 Akamai 直接观察到了对 DigiEver 设备的攻击,但它们反映了 Yen 之前描述的类似方法。利用这些缺陷支持旨在在易受攻击的设备中建立立足点的活动。
攻击者使用的方法和技术
通过命令注入,攻击者可以获取外部服务器上托管的恶意软件二进制文件,从而方便地将受感染的设备添加到僵尸网络。一旦受到控制,这些设备可用于发起分布式拒绝服务 (DDoS) 攻击或促进对其他目标的进一步攻击。通过引入 cron 作业来维持受感染系统内的持久性,这确保恶意软件在可能的重新启动或其他中断的情况下仍保持活动状态。
Akamai 的发现 强调 这种新的 Mirai 变体采用先进的加密方法,包括 XOR 和 ChaCha20,这表明僵尸网络运营商的策略不断变化。与 Mirai 之前的许多版本依赖于基本字符串混淆不同,此变体展示了提高规避和操作安全性的意图。它针对各种架构,包括 x86、ARM 和 MIPS,从而扩大了其对各种设备类型的潜在影响。
Akamai 研究人员敦促设备所有者和管理员采取主动措施,包括监控妥协指标 (IoC),这些措施与 Yara 规则一起提供,用于检测和阻止新出现的威胁。
特色图片来源: 凯雷姆·葛兰/中途
