新的 Mirai 僵尸网络利用零日漏洞攻击工业路由器

一个相对较新的基于 Mirai 的僵尸网络日益复杂，现在正利用零日漏洞攻击工业路由器和智能家居设备中的安全漏洞。

据监控僵尸网络发展和攻击的 Chainxin X 实验室研究人员称，对以前未知漏洞的利用始于 2024 年 11 月。

其中一个安全问题是 CVE-2024-12856，这是 VulnCheck 在 12 月底发现的 Four-Faith 工业路由器中的一个漏洞，但在 12 月 20 日左右注意到了利用该漏洞的努力。

VulnCheck 在 12 月底发现了 Four-Faith 工业路由器的 CVE-2024-12856 漏洞，但在 12 月 20 日左右发现了利用该漏洞的行为。

僵尸网络简介

该僵尸网络的名称暗指同性恋，它还依赖于针对 Neterbit 路由器和 Vimar 智能家居设备中未知漏洞的定制漏洞利用。

它于去年二月被发现，目前每天有 15,000 个活跃的僵尸节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。

它的主要目标似乎是对指定目标实施分布式拒绝服务（DDoS）以牟利，每天攻击数百个实体，其活动在 2024 年 10 月和 11 月达到高峰。

目标国家
来源：X 实验室

该恶意软件混合利用了 20 多个漏洞的公共和私人漏洞，向暴露在互联网上的设备传播，目标是 DVR、工业和家用路由器以及智能家居设备。

具体来说，它的目标如下：

• 华硕路由器（通过 N-day 漏洞利用）。
• 华为路由器（通过 CVE-2017-17215）
• Neterbit 路由器（自定义漏洞利用）
• LB-Link 路由器（通过 CVE-2023-26801）
• Four-Faith 工业路由器（通过现在被跟踪为 CVE-2024-12856 的零日漏洞）
• PZT 摄像机（通过 CVE-2024-8956 和 CVE-2024-8957）
• Kguard DVR
• Lilin DVR（通过远程代码执行漏洞）
• 通用 DVR（使用 TVT editBlackAndWhiteList RCE 等漏洞利用）
• Vimar 智能家居设备（可能使用了一个未披露的漏洞）
• 各种 5G/LTE 设备（可能通过错误配置或弱凭据进行攻击）

僵尸网络具有针对 Telnet 弱密码的暴力破解模块，使用带有独特签名的定制 UPX 包装，并实施基于 Mirai 的命令结构，用于更新客户端、扫描网络和进行 DDoS 攻击。

僵尸网络攻击量
来源：X 实验室

X Lab 报告称，僵尸网络的 DDoS 攻击持续时间很短，在 10 秒到 30 秒之间，但强度很高，流量超过 100 Gbps，即使对强大的基础设施也会造成破坏。

X Lab 解释说：“攻击目标遍布全球，分布在各个行业。”

研究人员说：“主要攻击目标分布在中国、美国、德国、英国和新加坡。”

总之，僵尸网络展示了一种独特的能力，即利用 n 天甚至零天漏洞，在不同设备类型中保持高感染率。

用户可以按照一般建议保护自己的设备，安装供应商提供的最新设备更新，在不需要时禁用远程访问，并更改默认的管理员账户凭据。