根据Fortinet的FortiGuard Labs,去年十月在广泛的AWS故障期间,出现了一种名为ShadowV2的基于Mirai的僵尸网络,感染了各行各业和各大洲的物联网设备,可能作为未来攻击的“试运行”。……
在感染了易受攻击的设备后,形成了物联网设备的僵尸军队,ShadowV2 Mirai变种允许攻击者远程控制这些设备网络,并进行大规模攻击,包括分布式拒绝服务(DDoS)攻击。
不过好在,该恶意软件仅在这次为期一天的故障期间活跃,导致主要网站离线数小时。
在那段时间里,它通过多个厂商的设备传播,涉及的漏洞包括 DD-WRT (CVE-2009-2765)、D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)、DigiEver (CVE-2023-52163)、TBK (CVE-2024-3721) 和 TP-Link (CVE-2024-53375),病毒分析师 Vincent Li 在周三的博客中提到。
虽然 ShadowV2,一个云原生的僵尸网络,之前在九月份的活动里针对 AWS EC2 实例,但最近的僵尸网络构建工作影响了多个行业,包括技术、零售和酒店、制造业、管理安全服务提供商、政府、电信和运营商服务和教育。此次攻击影响了 28 个国家:加拿大、美国、墨西哥、巴西、玻利维亚、智利、英国、荷兰、比利时、法国、捷克、奥地利、意大利、克罗地亚、希腊、摩洛哥、埃及、南非、土耳其、沙特阿拉伯、俄罗斯、哈萨克斯坦、中国、泰国、日本、台湾、菲律宾和澳大利亚等。
这家安全公司在博客中提到,攻击者利用设备的漏洞投放一个下载器脚本(binary.sh),然后从 81[.]88[.]18[.]108 使用前缀为“shadow”的二进制文件传播 ShadowV2 恶意软件。
它类似于 LZRD Mirai 变种,因为它初始化一个使用 XOR 编码的配置,然后连接到一个指挥控制服务器以接收命令并发起 DDoS 攻击。
不过,在执行时,它会显示以下字符串:ShadowV2 Build v1.0.0 物联网版本。“根据这个字符串,我们判断它可能是为物联网设备开发的 ShadowV2 的第一个版本,”李这样写道。
目前为止,感染物联网的恶意软件的唯一活动发生在 AWS 中断期间 - 但僵尸网络的出现提醒我们要加强对物联网设备的保护,及时更新固件,并监控异常和垃圾网络流量。Fortinet 还发布了一份全面的妥协指标清单。
在 ShadowV2 测试运行不久后,微软表示 Azure 遭遇了史上最大的基于云的 DDoS 攻击,这次攻击源自 Aisuru 僵尸网络,流量达到每秒 15.72 太比特 (Tbps)。
微软的云 DDoS 保护服务在 10 月 24 日缓解了每秒近 36.4 亿个数据包的流量洪峰,微软表示,所有客户的工作负载都没有出现服务中断。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.