Mirai 僵尸网络变种利用 Four-Faith 路由器漏洞发起 DDoS 攻击 网络相关
自 2024 年 11 月初以来,Mirai 僵尸网络变种被发现利用新披露的安全漏洞影响 Four-Faith 工业路由器,目的是发动分布式拒绝服务 (DDoS) 攻击。
该僵尸网络每天维持着大约 15,000 个活跃 IP 地址,感染主要分散在中国、伊朗、俄罗斯、土耳其和美国。
该恶意软件利用了超过 20 个已知安全漏洞和弱的 Telnet 凭据进行初始访问,已知自 2024 年 2 月以来一直活跃。该僵尸网络被称为“gayfemboy”,指的是源代码中存在的攻击性术语。
奇安信 XLab表示,其观察到该恶意软件利用中国四信生产的工业路由器中的零日漏洞,最早在 2024 年 11 月 9 日传播这些文件。
该漏洞为 CVE-2024-12856(CVSS 评分:7.2),它指的是影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞,该漏洞利用未更改的默认凭据。
上个月底,VulnCheck向 The Hacker News透露,该漏洞已被广泛利用,在受感染的设备上投放反向 shell 和类似 Mirai 的有效载荷。
僵尸网络利用的其他一些安全漏洞包括 CVE-2013-3307、CVE-2013-7471、CVE-2014-8361、CVE-2016-20016、CVE-2017-17215、CVE-2017-5259、CVE-2020-25499、CVE-2020-9054、CVE-2021-35394、CVE-2023-26801、CVE-2024-8956 和 CVE-2024-8957。
一旦启动,该恶意软件就会试图隐藏恶意进程并实现基于 Mirai 的命令格式来扫描易受攻击的设备、自我更新并对感兴趣的目标发起 DDoS 攻击。
利用僵尸网络的 DDoS 攻击每天都会针对数百个不同的实体,攻击活动在 2024 年 10 月和 11 月达到新的高峰。攻击持续时间为 10 到 30 秒,产生的流量约为 100 Gbps。
几周前,瞻博网络曾警告称,恶意攻击者正利用默认密码的会话智能路由器 (SSR) 产品植入 Mirai 僵尸网络恶意软件。Akamai 还披露,Mirai 恶意软件感染可利用 DigiEver DVR 中的远程代码执行漏洞。
XLab 研究人员表示:“DDoS 已经成为最常见、破坏力最强的网络攻击形式之一。其攻击方式多样,攻击路径隐蔽性强,可以采用不断演进的策略和技术对各个行业和系统进行精准打击,对企业、政府组织和个人用户构成重大威胁。”
与此同时,威胁行为者正在利用易受攻击和配置错误的 PHP 服务器(例如CVE-2024-4577)来部署名为 PacketCrypt 的加密货币矿工。
利用 PHP 漏洞传播恶意软件并发起 DDoS 攻击 网络相关
据观察,多个威胁行为者利用最近披露的 PHP 安全漏洞来传播远程访问木马、加密货币矿工和分布式拒绝服务 (DDoS) 僵尸网络。
该漏洞为CVE-2024-4577(CVSS 评分:9.8),允许攻击者在使用中文和日语语言环境的 Windows 系统上远程执行恶意命令。该漏洞于 2024 年 6 月初公开披露。
Akamai 研究人员 Kyle Lefton、Allen West 和 Sam Tinklenberg在周三的分析中表示:“CVE-2024-4577 是一个漏洞,它允许攻击者逃离命令行并传递参数,让 PHP 直接解释。漏洞本身在于 Unicode 字符如何转换为 ASCII。”
该网络基础设施公司表示,在 PHP 漏洞被公开后的 24 小时内,它就开始观察到针对其蜜罐服务器的攻击尝试。
其中包括旨在传播名为Gh0st RAT的远程访问木马、 RedTail和 XMRig等加密货币矿工以及名为Muhstik的 DDoS 僵尸网络的漏洞。
研究人员解释道:“攻击者发送了一个类似于之前 RedTail 操作的请求,利用‘%ADd’的软连字符漏洞来执行 shell 脚本的 wget 请求。该脚本向同一个俄罗斯 IP 地址发出额外的网络请求,以检索 RedTail 加密挖掘恶意软件的 x86 版本。”
上个月,Imperva 还透露,TellYouThePass 勒索软件攻击者正在利用 CVE-2024-4577 来传播文件加密恶意软件的 .NET 变体。
建议依赖 PHP 的用户和组织将其安装更新到最新版本,以防范主动威胁。
研究人员表示:“新漏洞披露后,防御者保护自己的时间不断缩短,这是另一个关键的安全风险。对于这个 PHP 漏洞来说尤其如此,因为它的可利用性很高,而且被威胁者迅速利用。”
Cloudflare 表示,2024 年第二季度,该公司的 DDoS 攻击次数同比增长了 20%,并且在前六个月内缓解了 850 万次 DDoS 攻击。相比之下,该公司在 2023 年全年阻止了 1400 万次 DDoS 攻击。
研究人员 Omer Yoachimik 和 Jorge Pacheco在 2024 年第二季度的 DDoS 威胁报告中表示: “总体而言,第二季度的 DDoS 攻击数量环比下降了 11%,但同比增长了 20%。”
此外,已知的 DDoS 僵尸网络占所有 HTTP DDoS 攻击的一半。伪造用户代理和无头浏览器 (29%)、可疑 HTTP 属性 (13%) 和通用洪水 (7%) 是其他突出的 HTTP DDoS 攻击媒介。
在此期间,遭受攻击最多的国家是中国,其次是土耳其、新加坡、香港、俄罗斯、巴西、泰国、加拿大、台湾和吉尔吉斯斯坦。信息技术和服务、电信、消费品、教育、建筑和食品饮料成为 DDoS 攻击的主要目标行业。
研究人员表示:“2024 年第二季度,阿根廷被列为最大的 DDoS 攻击源。印度尼西亚紧随其后,位居第二,荷兰位居第三。”