Moobot僵尸网络通过针对Cacti和RealTek漏洞进行传播

Moobot僵尸网络积极利用Cacti和Realtek中的关键漏洞进行野外攻击。

FortiGuard Labs研究人员观察到针对Cacti(CVE-2022-46169)和Realtek(CVE-2021-35394)漏洞的持续黑客活动，以传播ShellBot和Moobot恶意软件。

ShellBot也称为PerlBot，是一种基于Perl的DDoS机器人，它使用IRC协议进行C2通信。ShellBot对打开了端口22的服务器执行SSH暴力攻击，它使用包含已知SSH凭据列表的字典。

基于Mirai的Moobot僵尸网络于2021年2月首次被Palo Alto Unit 42研究人员记录，2021年11月，它开始利用多个海康威视产品的网络服务器中的关键命令注入漏洞(CVE-2021-36260)。自2022年9月以来，Moobot僵尸网络被发现以易受攻击的D-Link路由器为目标。

CVE-2021-35394漏洞是一个任意命令注入漏洞，由于对从客户端接收的命令的合法性检测不足，该漏洞会影响UDPServer。

CVE-2022-46169缺陷是一个命令注入漏洞，未经身份验证的用户可以利用该漏洞在运行Cacti的服务器上执行任意代码。该漏洞存在于“remote_agent.php”文件中，未经身份验证的用户可以访问该文件。

“进一步下载Moobot的脚本文件如下所示。它使用参数realtek.<Filename>执行Moobot。”“像大多数 Mirai 变体一样，它有一个带有僵尸网络配置的加密数据部分。”

专家还观察到ShellBot僵尸网络自1月以来发起的攻击，主要针对Cacti漏洞。研究人员确定了三种ShellBot变体，追踪为即。PowerBots (C) GohacK、LiGhT的Modded perlbot v2和B0tchZ 0.2a。

这三个变种都可以发起分布式拒绝服务（DDoS）攻击，PowerBots (C) GohacK和B0tchZ 0.2a还支持后门功能。

“在过去的几个月里，威胁行为者一直在可利用的服务器上传播ShellBot和Moobot恶意软件。在收到来自C2服务器的命令后，受感染的受害者可以被控制并用作DDoS机器人。因为Moobot可以杀死其他僵尸网络进程，也可以部署暴力攻击，管理员应该使用强密码并定期更改它们。此外，某些ShellBot变体可以从其C2服务器安装其他恶意软件。”“上述漏洞具有严重的安全影响，可能导致远程代码执行。因此，强烈建议尽快应用补丁和更新。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5532.html