僵尸网络利用路由器和NVR中的0day 发动DDoS攻击

安全公告指出，“payload 针对具有默认管理员凭据的路由器和网络视频摄像机 (NVR)设备，成功后安装 Mirai 变体。”

目前这两个 0day 漏洞的详情并未公开，以让两家厂商有足够实践发布补丁并阻止其它威胁行动者滥用。其中一个漏洞的修复方案预计在下个月发布。

Akamai 公司最初在2023年10月底发现了这些攻击活动，不过目前幕后黑手还未找到。该僵尸网络被称为 “InfectedSlurs” 的原因是它在C2服务器中使用了种族歧视和冒犯性语言和硬编码字符串，是一个在2018年1月出现的 JenX Mirai 恶意软件变体。

Akamai 表示还找到了其它恶意软件样本，它似乎与 hailBot Mirai 变体相关联，而NSFOCUS 公司分析认为后者出现在2023年9月。

前不久，Akamai 详述了名为 “wso-ng” 的 web shell，它是 WSO 的“高级迭代”，集成了多种合法工具如 VirusTotal 和 SecurityTrails，同时在尝试访问时偷偷将登录界面隐藏在一个404出错页面中。该 web shell 的一个引人注意的侦查能力包括检索后续横向移动中的AWS 元数据并检索潜在的 Redis 数据库连接，以便获得对敏感应用数据的越权访问权限。微软在2021年曾表示，“web shell 可导致攻击者在服务器上运行命令以窃取数据或者将服务器用作其其它活动如凭据窃取、横向移动、额外 payload 部署或手不离键盘操作等的启动平台，从而使攻击者在受影响组织机构上获得持久性。”

使用现成web shell 也被威胁行动者视作混淆归属的手段，这也是擅长情报收集的网络间谍组织的关键标志。攻击者使用的另外一个常用技术是使用受陷但合法的域名用作 C2 和传播恶意软件。2023年8月，Infoblox 披露了一起使用受陷 WordPress 网站的大规模攻击活动。该攻击按照某些条件将访客重定向至中间C2和字典域生成算法域，被归咎于 VexTrio 威胁组织。