Fortinet 的 FortiGuard 实验室的网络安全研究人员发现了一种新的基于 Mirai 的僵尸网络,称为“ShadowV2”,该网络似乎利用了围绕一个重大漏洞的混乱。 AWS 中断 10月进行全球运营测试。虽然僵尸网络不对云中断负责,但其活动窗口与停机时间完全一致,这表明操作员抓住时机在可见性较低的情况下评估其能力。该恶意软件专门针对 D-Link、TP-Link、DD-WRT、DigiEver 和 TBK 等供应商的物联网 (IoT) 设备,利用至少八个已知漏洞来危害网络设备。
ShadowV2 活动最令人担忧的方面是它对“僵尸”硬件的依赖,即已达到使用寿命 (EoL) 并且永远不会修补的设备。具体来说,僵尸网络利用了 CVE-2024-10914 和 CVE-2024-10915,即旧版 D-Link 设备中发现的命令注入缺陷。在对这些缺陷进行询问后,D-Link 确认不会对受影响的型号进行修复,因为它们不再处于开发阶段,除非硬件被物理更换,否则用户将永远容易受到攻击。该恶意软件还利用了 TP-Link 设备中的 Beta 补丁缺陷 (CVE-2024-53375) 以及 DD-WRT 中可追溯至 2009 年的遗留漏洞。
技术分析显示,攻击源自IP地址198[.]199[.]72[.]27,利用下载器脚本从辅助服务器获取恶意有效负载。该恶意软件将自己标识为“ShadowV2 Build v1.0.0 IoT 版本”,采用 XOR 编码配置来掩盖其文件系统路径,并利用类似于 Mirai LZRD 变体的代码库。一旦设备受到威胁,它就会成为僵尸网络的一部分,能够跨 UDP、TCP 和 HTTP 协议发起分布式拒绝服务 (DDoS) 攻击。
这次“试运行”的范围很广泛,影响了北美、南美、欧洲、非洲、亚洲和澳大利亚的政府、技术、制造、电信和教育等部门。尽管运营商的货币化战略仍不清楚,但针对无法修补的遗留基础设施的复杂目标表明,其战略建立在长期坚持的基础上,而不是快速、机会主义的打击。
