Mirai 变种 Murdoc 僵尸网络利用 AVTECH IP 摄像机和华为路由器

网络安全研究人员警告称，一项新的大规模活动利用 AVTECH IP 摄像机和华为 HG532 路由器的安全漏洞，将这些设备纳入被称为 Murdoc Botnet 的 Mirai 僵尸网络变种。

Qualys 安全研究员 Shilpesh Trivedi在分析中表示，正在进行的活动“展示了增强的能力，利用漏洞破坏设备并建立广泛的僵尸网络”。

据了解，该活动至少自 2024 年 7 月开始活跃，迄今为止已感染了1,370 多个系统。大多数感染位于马来西亚、墨西哥、泰国、印度尼西亚和越南。

证据表明，该僵尸网络利用 CVE-2017-17215、CVE-2024-7029 等已知安全漏洞获取物联网（IoT）设备的初始访问权限，并通过 Shell 脚本下载下一阶段的有效负载。

该脚本会获取僵尸网络恶意软件并根据 CPU 架构执行它。这些攻击的最终目标是利用僵尸网络进行分布式拒绝服务 (DDoS) 攻击。

在 Censys 曝光管理平台上搜索显示，截至撰写本文时，在线暴露的 AVTECH 摄像机超过 37,995 个，其中大部分位于台湾、越南、印度尼西亚、美国和斯里兰卡。

几周前，一个名为 gayfemboy 的 Mirai 僵尸网络变种被发现利用最近披露的安全漏洞，自 2024 年 11 月初以来影响了 Four-Faith 工业路由器。早在 2024 年中，Akamai 还透露，CVE-2024-7029 被恶意行为者滥用，将 AVTECH 设备纳入僵尸网络。

上周，有关另一起大规模 DDoS 攻击活动的详细信息浮出水面，该攻击活动自 2024 年底以来针对日本主要企业和银行，利用漏洞和弱凭证形成的 IoT 僵尸网络。其他一些目标集中在美国、巴林、波兰、西班牙、以色列和俄罗斯。

调查发现，DDoS 攻击主要针对电信、科技、托管、云计算、银行、游戏和金融服务行业。超过 55% 的受感染设备位于印度，其次是南非、巴西、孟加拉国和肯尼亚。

趋势科技表示： “僵尸网络由源自 Mirai 和BASHLITE 的恶意软件变种组成。僵尸网络的命令包括可以整合各种 DDoS 攻击方法、更新恶意软件和启用代理服务的命令。”

这些攻击涉及渗透物联网设备以部署加载器恶意软件，该恶意软件获取实际有效载荷，然后连接到命令和控制 (C2) 服务器并等待进一步的指令，以进行 DDoS 攻击和其他目的。

为了防范此类攻击，建议监控任何不受信任的二进制文件/脚本执行产生的可疑进程、事件和网络流量。还建议应用固件更新并更改默认用户名和密码。