被称为“MooBot”的 Mirai 恶意软件僵尸网络变种在上月初开始的新攻击浪潮中重新出现,针对具有新旧漏洞的易受攻击的 D-Link 路由器。
MooBot 于 2021 年 12 月被 Fortinet 的分析师发现,目标是海康威视摄像头中的一个漏洞,以迅速传播并将大量设备纳入其 DDoS(分布式拒绝服务)军队。
今天,该恶意软件已经更新了它的目标范围,这对于寻找可以诱捕的未开发漏洞设备池的僵尸网络来说是典型的。
根据 Palo Alto Network 的Unit 42 研究人员编制的一份报告,MooBot 现在针对 D-Link 设备中的以下关键漏洞:
CVE-2015-2051:D-Link HNAP SOAPAction 标头命令执行漏洞
CVE-2018-6530:D-Link SOAP 接口远程代码执行漏洞
CVE-2022-26258:D-Link 远程命令执行漏洞
CVE-2022-28958:D-Link 远程命令执行漏洞
用于利用 CVE-2022-26258 (单元 42)的有效负载
供应商已经发布了安全更新来解决这些漏洞,但并非所有用户都应用了这些补丁,尤其是最后两个补丁,这两个补丁在今年 3 月和 5 月才为人所知。
MooBot 的操作员利用漏洞的低攻击复杂性在目标上远程执行代码并使用任意命令获取恶意软件二进制文件。
MooBot 的最新攻击概述 (第 42 单元)
在恶意软件从配置中解码硬编码地址后,新捕获的路由器将在威胁参与者的 C2 上注册。
值得注意的是,Unit 42 报告中提供的 C2 地址与 Fortinet 报告中的地址不同,这表明威胁参与者的基础设施已经更新。
最终,捕获的路由器参与针对各种目标的定向 DDoS 攻击,具体取决于 MooBot 的运营商希望实现的目标。
通常,威胁参与者会向其他人出售 DDoS 服务,因此僵尸网络的火力会出租给任何有兴趣造成站点和在线服务停机或中断的人。
受感染 D-Link 设备的用户可能会注意到互联网速度下降、无响应、路由器过热或莫名其妙的 DNS 配置更改,这些都是僵尸网络感染的常见迹象。
关闭 MooBot 大门的最佳方法是在 D-Link 路由器上应用可用的固件更新。如果您使用的是旧的且不受支持的设备,则应对其进行配置以防止远程访问管理面板。
如果您可能已经受到威胁,您应该从相应的物理按钮执行重置,更改您的管理员密码,然后安装供应商提供的最新安全更新。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Moobot僵尸网络正在攻击新漏洞的D-Link 路由器
