行业新闻与博客
IZ1H9 僵尸网络利用新漏洞攻击物联网设备
安全公司 Fortinet 的研究部门 FortiGuard Labs 发现了基于 IZ1H9 Mirai 的 DDoS 活动的重大演变。
据报道,这一新活动于 9 月份发现,并在周一发布的公告中进行了描述,据报道,该活动已迅速更新其漏洞库,包含 13 个不同的有效负载,针对不同物联网 (IoT) 设备上的各种漏洞。
9 月 6 日是利用高峰期,触发次数达到数万次。这凸显了该活动通过新发布的漏洞利用代码(包含多个 CVE)感染易受攻击的设备并迅速扩展其僵尸网络的能力。
漏洞利用有效负载主要针对 D-Link、Netis、Sunhillo SureLine、Geutebruck、Yealink Device Management、Zyxel、TP-Link Archer、Korenix JetWave 和 TOTOLINK 设备中的漏洞。每个有效负载都是针对利用特定漏洞而定制的,范围从命令注入到远程代码执行(RCE)。
注入的有效负载从特定 URL 启动 shell 脚本下载器“l.sh”。它继续删除日志,下载并执行适用于 Linux 架构的各种机器人客户端,并阻止多个端口上的网络连接。
IZ1H9 是 Mirai 的变种,它会感染基于 Linux 的物联网设备,使它们成为远程控制的机器人,进行大规模网络攻击。其配置使用 XOR 密钥进行解码,显示额外的有效负载下载器 URL,以及用于暴力攻击的预设登录凭据。
受感染设备和命令服务器之间的命令与控制 (C2) 通信非常详细,展示了该活动在使用特定参数发起 DDoS 攻击方面的复杂性。
Fortinet 研究员 Cara Lin 表示,该研究强调了 RCE 攻击对物联网设备造成的持续威胁。
“尽管针对这些漏洞提供了补丁,但漏洞触发的数量仍然高得惊人,通常达到数千个,” 她写道。
“放大 IZ1H9 活动影响的是对其利用的漏洞的快速更新。一旦攻击者获得对易受攻击设备的控制,他们就可以将这些新受感染的设备合并到他们的僵尸网络中,从而使他们能够发起进一步的攻击,例如 DDoS 攻击和暴力破解。”Lin 补充道。
为了减轻这种威胁,敦促组织立即应用补丁并更改其设备的默认登录凭据。
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服