V3G4变种的Mirai僵尸网络新攻击

关键要点

• Unit 42的研究人员观察到V3G4变种的Mirai僵尸网络在三次针对多种物联网设备的攻击中利用13个未修补的漏洞。
• 攻击将可能导致远程代码执行及控制受影响设备。
• V3G4具有原始Mirai变种的主要特征，包括嵌入的默认登录凭据。
• 威胁行为者利用已知的CVE-2022-46169漏洞进行针对性的攻击。
• 新出现的Mirai变种正尝试分发Medusa拒绝服务僵尸网络。
• 研究人员证实所有受攻击的漏洞都未被修补。

Unit42的研究人员发现，威胁行为者正利用一种名为V3G4的Mirai变种，在针对多个物联网设备的三次攻击中，实现对13个未修补漏洞的利用。一旦成功利用这些漏洞，将可能导致远程代码执行。

研究人员对这些攻击进行了追踪，从2022年7月到12月，发现一旦成功利用，系统会自动执行“wget”和“curl”工具，从恶意软件基础设施下载Mirai客户端样本，并执行下载的僵尸网络客户端。

研究人员指出：“V3G4继承了原始Mirai变种的一个重要特征——一个包含默认登录凭据的数据部分，用于扫描和暴力破解。”同时，它也会用XOR密钥0x37对所有凭据进行加密。

Mirai作为一个知名的威胁，以其不断演变的策略来控制设备并扩大僵尸网络而著称。研究人员先前注意到，该变种利用有效的暴力破解策略和传播技术，这对僵尸网络操作者非常有利。

最近观察到Mirai背后的威胁行为者利用已知的关键性漏洞CVE-2022-46169，攻击Cacti设备监控工具，旨在传递Mirai恶意软件和基于PERL的IRC僵尸网络。成功利用这些漏洞导致了主机反向shell的启动。

据BleepingComputer报道，在上个月又出现了一种基于Mirai的新变种，用于分发Medusa拒绝服务僵尸网络。此攻击活动被称为，但是该变种还在修复错误阶段。

在Unit42最新的研究中发现，一旦设备被V3G4变种攻陷，攻击者就能够完全控制该设备，使其成为“僵尸网络的一部分”。这意味着攻击者可以利用该设备进行进一步的攻击，包括分布式拒绝服务（DDoS）攻击。

根据研究人员观察到的攻击，利用已知的漏洞传播V3G4变种，主要瞄准了“运行Linux的暴露服务器和网络设备”。

此外，V3G4会在扫描函数中初始化telnet/SSH登录凭据表格，然后通过暴力破解手段，针对那些使用弱用户名和密码组合的网络设备进行传播。

在僵尸网络客户端与C2服务器建立连接之前，恶意软件将首先初始化所有DDoS攻击功能（如图9所示）。一旦客户端与C2服务器建立连接，威胁行为者便能向客户端发出启动DDoS攻击的命令。

此次攻击所针对的物联网设备包括FreePBX Elastix、Gitorious、FRITZ!Box Webcam、Mitel AWC、GeutebruckIP Cameras、Webmin、Spree Commerce、FLIR热成像相机、DrayTek Vigor、AirspanAirSpot、Atlassian Confluence，以及C-Data Web管理系统。研究中包含了原始CVE披露的链接。

这些CVE漏洞可追溯到2012年和2014年，但也包括去年报告的几个漏洞。而所有在此次攻击活动中成功针对的安全漏洞都未被相关实体修补。

更重要的是，这些漏洞的攻击复杂性低于之前观察到的僵尸网络变种，但仍然能“维持关键的安全影响”，使得远程代码执行成为可能。因此，研究人员敦促相关实体尽可能修补或更新软件。

研究人员确定，这些攻击活动来自同一威胁行为者。取证证据