新型 Mirai 变种 Murdoc_Botnet 通过物联网漏洞发起 DDoS 攻击

阅读量60090

发布时间 : 2025-01-22 10:59:38

x
译文声明

本文是翻译文章,文章原作者 Deeba Ahmed,文章来源:hackread

原文地址:https://hackread.com/mirai-variant-murdoc-botnet-ddos-attacks-iot-exploits/

译文仅供参考,具体内容表达以及含义原文为准。

本文探讨了 Murdoc_Botnet 近期的活动,这是一种针对 AVTECH 和华为易受攻击设备的 Mirai 恶意软件变种。Qualys 威胁研究小组于 2024 年 7 月发现了这一正在进行的活动。

Qualys 威胁研究小组发现了一个始于 2024 年 7 月的 Mirai 僵尸网络活动,该活动部署了一个名为 Murdoc_Botnet 的新僵尸网络。这是 Mirai 活动中的一次大规模行动,利用了针对 AVTECH 摄像机和华为 HG532 路由器的漏洞。

攻击者利用 ELF 和 shell 脚本执行来部署 Murdoc_Botnet 僵尸网络样本。该技术利用现有漏洞(CVE-2024-7029、CVE-2017-17215)下载下一阶段有效载荷。研究始于发现和分析用于 DDOS 活动的 Murdoc_Botnet 二进制文件。利用 Qualys EDR、威胁情报数据和开源情报 (OSINT),研究人员将 Murdoc_Botnet 定义为 Mirai 变种。

研究人员发现了约 1300 多个活动 IP 和 100 多个不同的服务器,每个服务器的任务都是破译其活动并与受损 IP/服务器建立通信。这些服务器为 Mirai 恶意软件的传播提供了便利。这些服务器在传播 Mirai 恶意软件方面发挥了作用。

进一步分析发现,有 100 多台指挥控制服务器负责与受感染设备建立通信。这些服务器也为 Mirai 恶意软件的传播提供了便利。

根据 Qualys Threat Research 在发布前与 Hackread.com 独家分享的技术博文,Murdoc_Botnet 的目标是 *nix 系统,尤其是易受攻击的 AVTECH 和华为设备。该恶意软件主要使用 bash 脚本,利用 GTFOBins 获取有效载荷,使用 chmod 授予其执行权限,然后执行并删除它们。

此外,它还利用现有漏洞获取下一阶段的有效载荷。感染过程包括利用漏洞下载 shell 脚本。这些脚本会在被入侵的设备上执行,进而下载新变种的 Mirai 僵尸网络(Murdoc_Botnet)。

马来西亚、泰国、墨西哥和印度尼西亚已被确定为此次活动中受影响最严重的国家。为防范 Murdoc_Botnet 攻击,企业应监控可疑进程,避免执行来自不可信来源的 shell 脚本,并使用最新补丁更新系统和固件。这些措施可以大大降低感染 Murdoc_Botnet 和 Mirai 变种的风险。

本文翻译自hackread 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66