Mirai 僵尸网络变种利用 Four-Faith 路由器漏洞发起 DDoS 攻击

自 2024 年 11 月初以来，Mirai 僵尸网络变种被发现利用新披露的安全漏洞影响 Four-Faith 工业路由器，目的是发动分布式拒绝服务 (DDoS) 攻击。

该僵尸网络每天维持着大约 15,000 个活跃 IP 地址，感染主要分散在中国、伊朗、俄罗斯、土耳其和美国。

该恶意软件利用了超过 20 个已知安全漏洞和弱的 Telnet 凭据进行初始访问，已知自 2024 年 2 月以来一直活跃。该僵尸网络被称为“gayfemboy”，指的是源代码中存在的攻击性术语。

奇安信 XLab表示，其观察到该恶意软件利用中国四信生产的工业路由器中的零日漏洞，最早在 2024 年 11 月 9 日传播这些文件。

该漏洞为 CVE-2024-12856（CVSS 评分：7.2），它指的是影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞，该漏洞利用未更改的默认凭据。

上个月底，VulnCheck向 The Hacker News透露，该漏洞已被广泛利用，在受感染的设备上投放反向 shell 和类似 Mirai 的有效载荷。

僵尸网络利用的其他一些安全漏洞包括 CVE-2013-3307、CVE-2013-7471、CVE-2014-8361、CVE-2016-20016、CVE-2017-17215、CVE-2017-5259、CVE-2020-25499、CVE-2020-9054、CVE-2021-35394、CVE-2023-26801、CVE-2024-8956 和 CVE-2024-8957。

一旦启动，该恶意软件就会试图隐藏恶意进程并实现基于 Mirai 的命令格式来扫描易受攻击的设备、自我更新并对感兴趣的目标发起 DDoS 攻击。

利用僵尸网络的 DDoS 攻击每天都会针对数百个不同的实体，攻击活动在 2024 年 10 月和 11 月达到新的高峰。攻击持续时间为 10 到 30 秒，产生的流量约为 100 Gbps。

几周前，瞻博网络曾警告称，恶意攻击者正利用默认密码的会话智能路由器 (SSR) 产品植入 Mirai 僵尸网络恶意软件。Akamai 还披露，Mirai 恶意软件感染可利用 DigiEver DVR 中的远程代码执行漏洞。

XLab 研究人员表示：“DDoS 已经成为最常见、破坏力最强的网络攻击形式之一。其攻击方式多样，攻击路径隐蔽性强，可以采用不断演进的策略和技术对各个行业和系统进行精准打击，对企业、政府组织和个人用户构成重大威胁。”

与此同时，威胁行为者正在利用易受攻击和配置错误的 PHP 服务器（例如CVE-2024-4577）来部署名为 PacketCrypt 的加密货币矿工。