新的Eleven11bot僵尸网络感染了超过86,000台物联网设备

诺基亚Deepfield应急响应团队（ERT）的研究人员发现了一个名为Eleven11bot的新僵尸网络，该网络已经感染了超过86,000台物联网设备。大多数受感染的设备是安全摄像头和网络视频录像机（NVRs），这些设备被用来发起DDoS攻击。

“2025年2月26日，Deepfield应急响应团队（ERT）发现了一个重要的新型分布式拒绝服务（DDoS）僵尸网络，现被追踪为‘Eleven11bot’。该僵尸网络主要由被入侵的网络摄像头和网络视频录像机（NVRs）组成，迅速增长至超过30,000台设备。其规模在非国家行为者僵尸网络中非常罕见，使其成为自2022年2月乌克兰入侵以来观察到的最大DDoS僵尸网络活动之一。”诺基亚安全研究人员Jérôme Meyer写道。“Eleven11bot针对了多个行业，包括通信服务提供商和游戏托管基础设施，利用了多种攻击向量。攻击强度差异很大，从每秒几十万到几亿个数据包（pps）不等。公共论坛报告称，持续的攻击活动导致服务降级持续多天，其中一些仍在进行中。”

同样监控该僵尸网络的GreyNoise研究人员发现，96%的IP是真实的，61%（1,042个中的636个）来自伊朗。GreyNoise将305个IP标记为恶意，研究人员指出，这一激增是在美国对伊朗实施新制裁之后出现的。

“在Deepfield的发现之后，Censys向GreyNoise提供了1,400个IP的列表，这些IP似乎与Eleven11bot有关，因为终端设备的配置和横幅与Deepfield在其研究中识别的相匹配。GreyNoise在过去30天内观察到1,042个IP主动攻击我们的传感器。”GreyNoise表示。

GreyNoise的数据表明，该僵尸网络通过暴力攻击、利用弱IoT密码以及针对带有硬编码凭证的VStarcam设备来扩大其影响范围。它还扫描易受攻击硬件上暴露的Telnet和SSH端口。到目前为止，已识别出305个IP地址与僵尸网络相关的恶意活动有关。

Shadowserver Foundation的研究人员也在监控该僵尸网络，并报告称他们发现了大约86,400台设备感染了Eleven11bot僵尸程序。大多数受感染的设备位于美国（24,700台）和英国（10,800台）。

我们开始扫描被Eleven11bot DDoS僵尸网络入侵的IoT设备，2025年3月2日发现了约86.4K台。IP数据每天在我们的受感染IoT报告中共享 https://t.co/92PBnEQhqG

受影响最严重的国家：美国（24.7K）、英国（10.8K）。

仪表板地图视图：https://t.co/pL82jUmWeq pic.twitter.com/H9sNUB404j

— The Shadowserver Foundation (@Shadowserver) 2025年3月4日

原文始发于微信公众号（黑猫安全）：新的Eleven11bot僵尸网络感染了超过86,000台物联网设备