Murdoc Botnet的Mirai僵尸网络变种利用已知的安全漏洞(如CVE-2017-17215和CVE-2024-7029)来获取对物联网设备的初始访问权限。
网络安全研究人员警告称,一种新型大规模攻击活动正在利用AVTECH IP摄像头和华为HG532路由器的安全漏洞,将这些设备纳入一个名为Murdoc Botnet的Mirai僵尸网络变种。
Qualys安全研究员Shilpesh Trivedi在分析中指出:“此次持续的攻击活动展现了增强的能力,通过利用漏洞来入侵设备并建立广泛的僵尸网络。”该活动自2024年7月开始,至今已感染超过1,370个系统。大多数感染事件发生在马来西亚、墨西哥、泰国、印尼和越南。
证据表明,该僵尸网络利用已知的安全漏洞(如CVE-2017-17215和CVE-2024-7029)来获取对物联网(IoT)设备的初始访问权限,并通过shell脚本下载下一阶段的恶意负载。该脚本会根据设备的CPU架构,获取并执行僵尸网络恶意软件。这些攻击的最终目标是利用僵尸网络发动分布式拒绝服务(DDoS)攻击。
几周前,一个名为“gayfemboy”的Mirai僵尸网络变种被发现,自2024年11月初以来,它一直在利用最近披露的Four-Faith工业路由器的安全漏洞。2024年年中,Akamai还透露,CVE-2024-7029被恶意行为者利用,将AVTECH设备纳入僵尸网络。
上周,有关另一场大规模DDoS攻击活动的细节浮出水面,该活动自2024年底以来一直针对日本的主要公司和银行,通过利用漏洞和弱凭据来组建一个物联网僵尸网络。
此次DDoS攻击活动主要针对电信、技术、托管、云计算、银行、游戏和金融服务行业。超过55%的受感染设备位于印度,其次是南非、巴西、孟加拉国和肯尼亚。
Trend Micro表示:“该僵尸网络包含源自Mirai和BASHLITE的恶意软件变种。其命令包括可以采用多种DDoS攻击方法、更新恶意软件以及启用代理服务的指令。”这些攻击涉及入侵物联网设备,部署一个加载器恶意软件,该恶意软件会获取实际负载,然后连接到命令与控制(C2)服务器,等待进一步的DDoS攻击和其他用途的指令。为了防范此类攻击,建议监控由任何不受信任的二进制文件/脚本执行所产生的可疑进程、事件和网络流量。同时,建议应用固件更新并更改默认用户名和密码。
转载请注明出处@安全威胁纵横,封面来源于网络;
本文来源:https://thehackernews.com/2025/01/murdocbotnet-found-exploiting-avtech-ip.html
原文始发于微信公众号(安全威胁纵横):僵尸网络变种利用 AVTECH IP 摄像头和华为路由器的漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论