BleepingComputer上个月初透露,被称为“MooBot”的Mirai恶意软件僵尸网络的变体再次出现在新一波攻击中,因为它易受攻击以D-Link路由器为目标,混合使用旧的以及发起网络攻击的新漏洞。2021年12月,Fortinet分析师发现了MooBot恶意软件团伙,该团伙正在针对供应商相机中的漏洞进行DDoS攻击。恶意软件开始瞄准D-Link设备最近,研究人员发现MooBot恶意软件更新了它的目标范围。根据PaloAltoNetwork的Unit42研究人员编制的一份报告,MooBot现在针对D-Link路由器设备中的几个关键漏洞。漏洞详情如下:CVE-2015-2051:D-LinkHNAPSOAPActionHeader命令执行漏洞;CVE-2018-6530:D-LinkSOAP接口远程代码执行漏洞;CVE-2022-26258:D-Link远程命令执行漏洞;CVE-2022-28958:D-Link远程命令执行漏洞。用于利用CVE-2022-26258(第42单元)的有效载荷幕后的MooBot恶意软件参与者利用漏洞的低攻击复杂性在目标上远程执行代码并使用任意命令获取恶意软件二进制文件。MooBot最新攻击概述(unitunit)恶意软件从配置中解码硬编码地址后,新捕获的路由器立即在攻击者的C2上注册。值得注意的是,报告中单位unit提出的C2地址与Fortinet不同,证明攻击者的基础设施已经更新。最终,被捕获的路由器参与针对不同目标的定向DDoS攻击,具体取决于MooBot团伙想要实现的目标。不过,攻击者往往会向其他人出售DDoS服务。目前,设备厂商已经针对上述漏洞发布了安全更新,但并非所有用户都应用了更新补丁。最后两个补丁是今年三五月份才发布的,应该还有用户没有更新补丁。用户需要及时应用安全更新。据悉,一旦D-Link设备受到攻击,用户可能会出现网速变慢、反应迟钝、路由器过热或莫名其妙的DNS配置变化等问题,这些都是僵尸网络感染的常见迹象。对于用户来说,防止MooBot危险的最佳方法是在D-Link路由器上应用可用的固件更新。如果用户使用的是旧设备,则应将其配置为防止远程访问管理面板。此外,如果用户觉得他们可能已经受到威胁,他们应该通过相应的物理按钮执行重置,例如更改管理密码,并立即安装供应商提供的最新安全更新。参考文章:https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/
