Mirai恶意软件新变种感染Linux设备构建DDoS僵尸网络发起DDoS(分布式拒绝服务)攻击的漏洞。据悉,Mirai恶意软件主要通过暴力破解telnet/SSH凭证或利用硬编码漏洞在目标设备上执行远程代码进行传播。一旦目标设备防御系统被攻破,它会立即感染设备并将其招募到自己的僵尸网络中。2022年7月至2022年12月期间,PaloAltoNetworks(第42单元)的研究人员在三个不同的网络攻击活动中发现了“V3G4”恶意软件。经过详细分析,研究人员发现硬编码的C2域包含相同的字符串,shell脚本也相似,所有攻击中使用的僵尸网络客户端具有相同的功能。据此,42单元推测这三起攻击均来自同一个网络犯罪分子。此外,安全研究人员指出,“V3G4”的攻击活动是从利用以下13个漏洞开始的:CVE-2012-4869:FreePBXElastix远程命令执行Gitorious远程命令执行CVE-2014-9727:FRITZ!BoxWebcam远程命令执行MitelAWC远程命令执行CVE-2017-5173:GeutebruckIP摄像机远程命令执行CVE-2019-15107:Webmin命令注入SpreeCommerce任意命令执行FLIR热像仪远程命令执行CVE-2020-8515:DrayTekVigor远程命令执行CVE-2020-15415:DrayTekVigor远程命令executionCVE-2022-36267:AirspanAirSpot远程命令执行CVE-2022-26134:AtlassianConfluence远程命令执行CVE-2022-4257:C-DataWeb管理系统命令注入V3G4被利用的漏洞一旦目标设备被攻击,基于Mirai恶意软件的有效负载就会被丢弃成功入侵系统并开始尝试连接到硬编码的C2地址。此外,“V3G4”还试图终止硬编码列表中其他竞争僵尸网络恶意软件家族的感染过程。试图阻止“竞争者”进程值得注意的是,与大多数仅使用一个OXR加密密钥的其他Mirai恶意软件变种不同,“V3G4”使用四个不同的XOR加密密钥,这使得恶意软件代码的逆向工程和解码其功能更加具有挑战性的。当“V3G4”传播到其他目标设备时,DDoS僵尸网络使用telnet/SSH暴力破解程序,尝试使用默认或弱凭据进行连接。最后,被攻击设备直接从C2发出DDoS命令,包括TCP、UDP、SYN和HTTP泛洪方法。DDoS命令安全研究人员指出,新变种“V3G4”很可能向想要对特定网站或在线服务发起网络攻击的客户出售DDoS服务。值得一提的是,虽然目前没有迹象表明“V3G4”变种与某网络攻击服务有关,但为更好地确保设备不被类似Mirai的恶意软件感染,用户应及时更改默认密码并安装安全更新。
