一個活躍的惡意軟件活動正在利用兩個具有遠程代碼執(zhí)行 （RCE） 功能的零日漏洞，將路由器和錄像機連接到基于 Mirai 的分布式拒絕服務 （DDoS） 僵尸網(wǎng)絡中。

Akamai在本周發(fā)布的一份公告中說：有效載荷以路由器和網(wǎng)絡錄像機（NVR）設備為目標，使用默認管理員憑據(jù)，一旦成功就會安裝Mirai變種。

有關(guān)這些漏洞的詳細信息目前還處于保密狀態(tài)，以便這兩家廠商發(fā)布補丁，防止其他威脅行為者濫用這些漏洞。其中一個漏洞的修補程序預計將于下月發(fā)布。

網(wǎng)絡基礎設施和安全公司于 2023 年 10 月底首次發(fā)現(xiàn)了針對其蜜罐的攻擊。攻擊實施者的身份尚未確定。

由于在命令控制（C2）服務器和硬編碼字符串中使用了種族和攻擊性語言，該僵尸網(wǎng)絡被代號為InfectedSlurs，是2018年1月曝光的JenX Mirai惡意軟件變種。

Akamai表示，它還發(fā)現(xiàn)了更多似乎與hailBot Mirai變種有關(guān)的惡意軟件樣本，根據(jù)NSFOCUS最近的分析，后者出現(xiàn)于2023年9月。hailBot是基于Mirai源代碼開發(fā)的，其名稱源自運行后輸出的字符串信息'hail china mainland'。

Akamai詳細介紹了一種名為wso-ng的網(wǎng)絡外殼，它是WSO（"web shell by oRb "的縮寫）的 "高級迭代"，與VirusTotal和SecurityTrails等合法工具集成，同時在嘗試訪問時將其登錄界面隱藏在404錯誤頁面之后。

Web shell 的顯著偵察功能之一是檢索 AWS 元數(shù)據(jù)，以便隨后進行橫向移動，以及搜索潛在的 Redis 數(shù)據(jù)庫連接，從而在未經(jīng)授權(quán)的情況下訪問敏感的應用程序數(shù)據(jù)。

微軟早在 2021 年就表示：Web shell 允許攻擊者在服務器上運行命令以竊取數(shù)據(jù)，或?qū)⒎掌饔米髌渌顒拥闹破鳎鐟{證竊取、橫向移動、部署額外的有效載荷或動手鍵盤活動，同時允許攻擊者在受影響的組織中持續(xù)存在。

參考鏈接：http://m.ythuaji.com.cn/uploads/allimg/pl1prgv3x4j