InfectedSlurs 僵尸网络利用零日 RCE 漏洞
Akamai 发现了一个最近发现的名为 InfectedSlurs 的基于 Mirai 的 DDoS 僵尸网络,该僵尸网络积极利用两个零日漏洞来感染路由器和录像机 (NVR) 设备。
尽管研究人员在 2023 年 10 月检测到该僵尸网络,但他们怀疑其活动至少可以追溯到 2022 年。尽管向各自的供应商报告了这两个漏洞,但修复程序仍计划于 2023 年 12 月发布。
10 月,Akamai 的安全情报响应团队 (SIRT) 观察到针对该公司蜜罐的异常活动,特别是针对不常用的 TCP 端口。
Akamai 发布的分析显示,2023 年 10 月下旬,他们发现针对很少使用的 TCP 端口的蜜罐活动略有增加。截至 2023 年 11 月 9 日,目标设备身份不明,探测涉及低频尝试。该方法涉及通过 POST 请求启动身份验证,然后在身份验证成功后进行命令注入利用。
Akamai 没有透露受影响供应商的名称。研究人员发现,该机器人还利用默认管理员凭据来安装 Mirai 变体。对该活动的进一步调查显示,该僵尸程序的目标是为酒店和住宅应用设计的无线 LAN 路由器。
基于 JenX 的 InfectedSlurs
InfectedSlurs 植根于 JenX Mirai 恶意软件变体,该变体于 2018 年利用 Grand Theft Auto 视频游戏社区渗透设备。 Akamai 声称 InfectedSlurs 代码与原始 Mirai 僵尸网络的代码非常相似。
专家指出,2023 年 10 月活动中使用的变种与 2023 年 4 月使用的 Mirai 变种具有相同的功能和内存位置。此外,包括ailBot Mirai 变种在内的其他僵尸网络利用了 2023 年 10 月活动中使用的命令和控制 (C2) 基础设施。这次活动。研究人员还从臭名昭著的 DDoS 市场频道 DStatCC 中已删除的 Telegram 用户那里发现了对某些 C2 基础设施的引用。
Akamai 的 SIRT 正在与 CISA/US-CERT 和 JPCERT 合作,向供应商通知受影响的设备。为了让供应商有时间实施补丁,详细信息并未公开。然而,由于这些漏洞被积极利用,该报告包含了 Snort 和 YARA 规则,以帮助防御者识别其环境中的利用尝试和潜在感染。