Mirai V3G4 僵尸网络利用 13 个漏洞攻击物联网设备

Palo Alto Networks Unit 42研究人员报告称,一种名为 V3G4 的Mirai变种试图利用多个漏洞在 2022 年 7 月至 2022 年 12 月期间感染物联网设备。 

以下是 V3G4 利用的漏洞列表:

  • CVE-2012-4869:FreePBX Elastix 远程命令执行漏洞
  • Gitorious 远程命令执行漏洞
  • CVE-2014-9727:FRITZ!Box 网络摄像头远程命令执行漏洞
  • Mitel AWC 远程命令执行漏洞
  • CVE-2017-5173:Geutebruck IP 摄像机远程命令执行漏洞
  • CVE-2019-15107:Webmin 命令注入漏洞
  • Spree Commerce任意命令执行漏洞
  • FLIR 热像仪远程命令执行漏洞
  • CVE-2020-8515:DrayTek Vigor 远程命令执行漏洞
  • CVE-2020-15415:DrayTek Vigor 远程命令注入漏洞
  • CVE-2022-36267:Airspan AirSpot 远程命令执行漏洞
  • CVE-2022-26134:Atlassian Confluence 远程代码执行漏洞
  • CVE-2022-4257:C-Data Web 管理系统命令注入漏洞

威胁行为者的目标是感染尽可能多的系统以组成可用于进行多种攻击(包括 DDoS 攻击)的僵尸网络。

研究人员观察到三个不同的 Mirai V3G4 活动可能由同一威胁参与者操作,原因如下:

  • 这三个活动中的硬编码命令和控制 (C2) 域包含相同的字符串 (8xl9)
  • 恶意软件 shell 脚本下载程序在三个活动之间几乎相同
  • 僵尸网络客户端样本使用相同的 XOR 解密密钥
  • 僵尸网络客户端样本使用相同的“停止列表”(僵尸网络客户端搜索并终止的目标进程列表)
  • 僵尸网络客户端样本使用几乎相同的功能

该僵尸网络利用13个漏洞在易受攻击的设备上实现远程代码执行。成功利用后,恶意代码会执行wget和curl,从攻击者的基础设施下载 Mirai bot,然后执行它。

Mirai V3G4 僵尸网络

执行后,恶意程序会打印 xXxSlicexXxxVEGA到控制台。专家们注意到,V3G4还支持一项功能,可确保只有一个此恶意软件实例在受感染的设备上执行。如果V3G4进程已经存在则会退出。

V3G4还试图通过检查受感染设备上的名称来终止包含在硬编码“停止列表”中的进程列表。

与大多数 Mirai 变体不同,V3G4变种使用不同的 XOR 加密密钥进行字符串加密。

研究人员还注意到,这三个活动的机器人样本存在细微差别。最初的 Mirai 僵尸网络样本通过暴力破解弱 telnet/SSH 凭据来传播自身,而其他变种则依靠暴力攻击和嵌入式漏洞来传播。

但是,2022年9月至2022年12月期间发现的bot样本不包含漏洞利用和凭证暴力破解功能。

“与之前观察到的变种相比,上述漏洞的攻击复杂性较低,但它们仍具有严重的安全影响,可能导致远程代码执行。一旦攻击者以这种方式获得了对易受攻击设备的控制权,他们就可以通过将新漏洞的设备包含在他们的僵尸网络中来进行进一步的攻击,例如 DDoS。”总结报告说:“因此,强烈建议尽可能应用补丁和更新。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4098.html

标签