新型 Mirai 变种 ShadowV2 趁 AWS 中断测试物联网漏洞利用

HackerNews 编译，转载请注明出处： 一款基于 Mirai 的新型僵尸网络 ShadowV2，在 10 月亚马逊云服务中断期间短暂针对易受攻击的物联网设备发起攻击，此次行动很可能是一次测试运行。 10 月下旬 AWS 服务中断期间，飞塔实验室研究人员发现，基于 Mirai 的 ShadowV2 恶意软件在多个国家和行业中利用物联网漏洞发起攻击。该僵尸网络仅在服务中断期间活跃，表明其目的是为未来攻击进行测试。ShadowV2 针对多款产品的漏洞攻击物联网设备，涉及厂商及对应漏洞编号包括：DDWRT（CVE-2009-2765）、友讯（D-Link，CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915）、DigiEver（CVE-2023-52163）、TBK（CVE-2024-3721）、普联（TP-Link，CVE-2024-53375）。 该僵尸网络的攻击目标覆盖全球多个国家： 大洋洲：澳大利亚 美洲：加拿大、美国、墨西哥、巴西、玻利维亚、智利 欧洲：英国、荷兰、比利时、法国、捷克、奥地利、意大利、克罗地亚、希腊 非洲：摩洛哥、埃及、南非 亚洲：土耳其、沙特阿拉伯、俄罗斯、哈萨克斯坦、中国、泰国、日本、中国台湾地区、菲律宾 飞塔报告显示，受害行业包括科技、零售与酒店、制造业、托管安全服务提供商、政府机构、电信运营商及教育行业等。 ShadowV2 通过多个物联网漏洞传播，从 IP 地址 81 [.] 88 [.] 18 [.] 108 下载名为 binary.sh 的下载器脚本。 该恶意软件与 Mirai 的 LZRD 变种存在相似性，使用异或密钥 0x22 解码配置信息，并加载攻击路径、请求头和用户代理字符串（User-Agent）。在解析命令与控制（C2）域名后，它会连接至 81 [.] 88 [.] 18 [.] 108，并标识自身为 “面向物联网的 ShadowV2 Build v1.0.0”。随后，它会初始化多种 UDP、TCP 和 HTTP 洪水攻击方法，等待 C2 服务器下发指令，并根据接收的参数发起分布式拒绝服务（DDoS）攻击。 飞塔发布的报告指出：“ShadowV2 支持两种传输层协议（UDP 和 TCP）及 HTTP 应用层协议，实现的攻击方法包括 UDP 洪水、多种 TCP 洪水及 HTTP 层洪水。恶意软件将这些行为映射为内部函数名，例如 UDP、UDP Plain（UDP 明文）、UDP Generic（UDP 通用型）、UDP Custom（UDP 自定义型）、TCP、TCP SYN（TCP 同步包）、TCP Generic（TCP 通用型）、TCP ACK（TCP 确认包）、TCP ACK STOMP（TCP 确认包压制）及 HTTP 攻击。它持续监听 C2 服务器的命令，通过对应的攻击方法 ID 和参数触发 DDoS 攻击。” ShadowV2 的出现表明，物联网设备仍是重大安全薄弱环节。其演化趋势显示，威胁行为者正日益聚焦物联网环境。 报告总结道：“ShadowV2 的演化表明，威胁行为者的攻击目标已出现向物联网环境转移的战略转变。这凸显了及时更新固件、推行严格安全实践、持续监控相关威胁情报的重要性 —— 唯有如此，才能提升整体安全态势感知能力，确保物联网生态系统的抗攻击韧性。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文