CloudSEK威胁情报团队(TRIAD)曝光了一场复杂的僵尸网络活动,该活动通过基于Web的命令注入漏洞系统性攻陷SOHO路由器、物联网(IoT)设备和企业应用程序。这场依赖**“加载器即服务(LaaS)”模式**的攻击已活跃至少六个月,并呈现快速增长趋势。
CloudSEK观察到,今年夏季恶意活动出现爆发式增长:“2025年7-8月期间,该活动的攻击量激增230%,部署了包括Morte二进制文件和加密货币挖矿载荷在内的多架构恶意软件。”
此次发现得益于CloudSEK分析师获取了暴露的命令与控制(C2)日志,从而揭示了攻击者基础设施和技术的详细信息。
该僵尸网络严重依赖通过Web界面进行的命令注入,滥用未充分 sanitize 的POST参数(如ntp、syslog、hostname字段)。CloudSEK解释:“攻击者将shell命令注入未过滤的POST参数(例如ntp、remote_syslog、hostname、ping),使设备执行wget/curl | sh命令。”
关键技术包括:
- 通过暴力破解或凭证喷洒攻击滥用默认凭证(admin:admin);
- 利用固件升级和诊断端点执行任意代码;
- 使用BusyBox工具实现跨平台载荷投递;
- 在数十个IP间轮换基础设施以逃避下架。
该活动还利用已知漏洞,例如CVE-2019-16759(vBulletin预认证RCE)、CVE-2019-17574(WordPress Popup Maker插件漏洞) 和CVE-2012-1823(PHP-CGI RCE)。
设备被攻陷后,攻击者采用分阶段投递策略:
- 小型shell脚本作为dropper;
- 安装morte.x86、morte.x86_64等原生二进制文件以实现持久化;
- 部署加密货币挖矿载荷,劫持设备资源牟利。
CloudSEK指出:“连接到挖矿池或使用JSON-RPC getwork/eth_getWork的载荷表明,挖矿是主要 monetization 手段。”
除加密劫持外,僵尸网络还支持基于HTTP的C2轮询,使操作者能够下发命令、收集侦察信息,并决定保留访问权供后续使用或转售。
攻击范围覆盖消费者与企业生态系统:
- SOHO路由器和嵌入式Linux设备;
- 企业应用,尤其是Oracle WebLogic、WordPress和vBulletin服务器;
- 固件和路由器诊断页面,如wlwps.htm 、wan_dyna.html 、login.shtml 。
被攻陷的设备可被重新用于DDoS攻击、挖矿或在地下市场转售。
CloudSEK警告,该活动仍在持续进化:“我们有充分信心确定,威胁行为者将继续快速利用漏洞,并在未来6个月内大幅扩展目标设备列表。”
由于采用“加载器即服务”模式,其基础设施可能被多个犯罪团伙武器化,加速其在全球威胁格局中的增长和持久性。
发表评论
您还未登录,请先登录。
登录