新Mirai变体和ZHtrap僵尸网络恶意软件在野外出现

网络安全研究人员周一透露,利用各种漏洞在联网设备上部署新的Mirai变体的新一波持续攻击。

Palo Alto Networks的Unit 42威胁情报小组在一份报告中说: “在成功利用后,攻击者试图下载恶意的shell脚本,其中包含进一步的感染行为,例如下载和执行Mirai变体和暴力破解程序。”

被利用的漏洞包括:

  • VisualDoor-一个SonicWall SSL-VPN远程命令注入漏洞,该漏洞于今年1月初公开
  • CVE-2020-25506 -D-Link DNS-320防火墙远程执行代码(RCE)漏洞
  • CVE-2021-27561和CVE-2021-27562 -Yealink设备管理中的两个漏洞允许未经身份验证的攻击者以root特权在服务器上运行任意命令
  • CVE-2021-22502 -Micro Focus Operation Bridge Reporter(OBR)中的RCE缺陷,影响版本10.40
  • CVE-2019-19356 -Netis WF2419无线路由器RCE漏洞利用,以及
  • CVE-2020-26919 -Netgear ProSAFE Plus RCE漏洞

研究人员还发现,其中三个还包括针对未知目标部署的先前未公开的命令注入漏洞,据研究人员称,其中一个是与一个单独的僵尸网络(称为MooBot)一起发现的。

据说,从2月16日到最近的3月13日,在长达一个月的时间里发现了这些攻击。

无论成功利用漏洞有多少,攻击链都涉及使用wget实用程序从恶意软件基础结构下载外壳程序脚本,然后将其用于获取Mirai二进制文件,该臭名昭著的恶意软件将运行Linux的联网IoT设备变成远程控制的机器人。可以在大规模网络攻击中用作僵尸网络的一部分。

除了下载Mirai之外,还发现了其他外壳程序脚本,它们检索可执行文件,以促进暴力攻击以弱密码破解易受攻击的设备。

研究人员说:“物联网领域仍然是攻击者易于访问的目标。许多漏洞非常容易利用,在某些情况下可能会带来灾难性的后果。”

新的ZHtrap僵尸网络使用Honeypot诱捕受害者

在相关的开发中,来自中国安全公司Netlab 360的研究人员发现了一个基于Mirai的新型僵尸网络,称为ZHtrap,该僵尸网络利用蜜罐收集了更多的受害者,同时借鉴了名为Matryosh的DDoS僵尸网络的某些功能。

蜜罐通常模仿网络罪犯的目标,以便利用其入侵企图收集有关其作案手法的更多信息,而ZHtrap僵尸网络通过集成扫描IP收集模块以收集用作目标的IP地址,使用了类似的技术。用于进一步蠕虫状传播。

它通过侦听23个指定端口并识别连接到这些端口的IP地址,然后使用聚集的IP地址检查它们是否存在四个漏洞来注入有效载荷来实现此目的-

“ZHtrap的传播使用四个N日漏洞,主要功能是DDoS攻击和扫描,同时整合一些后门功能,”研究人员说。“ Zhtrap在受感染的设备上设置蜜罐,并为受害设备拍摄快照,并基于快照禁用新命令的运行,从而在设备上实现排他性。”

一旦接管了设备,ZHtrap就会通过使用Tor与命令和控制服务器进行通信以下载并执行其他有效载荷,来从Matryosh僵尸网络中获取提示。

研究人员指出,攻击始于2021年2月28日,它可以将受感染的设备转变为蜜罐,这标志着僵尸网络的“有趣”发展,旨在促进寻找更多目标。

这些基于Mirai的僵尸网络是最新出现在威胁领域的僵尸网络,部分受到2016年以来Internet上Mirai源代码的可用性的鼓舞,这为其他攻击者构建自己的变体提供了广阔的空间。

去年三月,研究人员发现了一种名为“ Mukashi ”的Mirai变体,该变体针对Zyxel网络附加存储(NAS)设备而被征召入僵尸网络。然后在2020年10月,Avira的IoT研究小组发现了Mirai僵尸网络的另一个变种,名为“ Katana ”,该变种利用远程代码执行漏洞感染D-Link DSL-7740C路由器,DOCSIS 3.1无线网关设备和Dell PowerConnect 6224交换机。

*编译:Domino

*来自:thehackernews