一种被追踪为“V3G4”的新 Mirai 僵尸网络变体针对基于 Linux 的服务器和物联网设备中的 13 个漏洞,用于 DDoS(分布式拒绝服务)攻击。
该恶意软件通过暴力破解弱的或默认的 telnet/SSH 凭据并利用硬编码缺陷在目标设备上执行远程代码执行来传播。一旦设备遭到破坏,恶意软件就会感染该设备并将其招募到僵尸网络群中。
Palo Alto Networks(第 42 单元)的研究人员在三个不同的活动中发现了该特定恶意软件,他们报告称在 2022 年 7 月至 2022 年 12 月期间监测了恶意活动。
Unit 42 认为所有这三波攻击都来自同一个威胁参与者,因为硬编码的 C2 域包含相同的字符串,shell 脚本下载相似,并且所有攻击中使用的僵尸网络客户端具有相同的功能。
V3G4 攻击从利用以下 13 个漏洞之一开始:
- CVE-2012-4869:FreePBX Elastix 远程命令执行
- Gitorious远程命令执行
- CVE-2014-9727:FRITZ!Box 网络摄像头远程命令执行
- Mitel AWC 远程命令执行
- CVE-2017-5173:Geutebruck IP 摄像机远程命令执行
- CVE-2019-15107:Webmin 命令注入
- Spree Commerce 任意指令执行
- FLIR 热像仪远程命令执行
- CVE-2020-8515:DrayTek Vigor 远程命令执行
- CVE-2020-15415:DrayTek Vigor 远程命令执行
- CVE-2022-36267:Airspan AirSpot 远程命令执行
- CVE-2022-26134:Atlassian Confluence 远程命令执行
- CVE-2022-4257:C-Data Web 管理系统命令注入
在破坏目标设备后,基于 Mirai 的有效载荷被投放到系统上并尝试连接到硬编码的 C2 地址。
僵尸网络还尝试终止硬编码列表中的一组进程,其中包括其他竞争性僵尸网络恶意软件系列。
V3G4 与大多数 Mirai 变体的区别在于它使用四个不同的 XOR 加密密钥而不是一个,这使得对恶意软件代码进行逆向工程和解码其功能更具挑战性。
当传播到其他设备时,僵尸网络使用 telnet/SSH 暴力破解程序尝试使用默认或弱凭据进行连接。Unit 42 注意到早期的恶意软件变体同时使用 telnet/SSH 暴力破解和漏洞利用来传播,而后来的样本没有使用扫描器。
最后,受感染的设备直接从 C2 发出 DDoS 命令,包括 TCP、UDP、SYN 和 HTTP 泛洪方法。
V3G4 可能会向想要对特定网站或在线服务造成服务中断的客户出售 DDoS 服务。
但是,此变体目前尚未绑定到特定服务。
一如既往,保护您的设备免受类似 Mirai 感染的最佳方法是更改默认密码并安装最新的安全更新。
非特殊说明,本博所有文章均为博主原创。
如若转载,请注明出处:https://www.ozabc.com/ruanjian/534916.html
