引发混乱：Condi 恶意软件控制 TP-Link Wi-Fi 路由器，发起毁灭性的 DDoS 僵尸网络攻击

新发现的恶意软件 Condi 利用 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器中的安全漏洞，已成为重大威胁。其主要目标是利用这些受感染的设备，将它们组装成强大的分布式拒绝服务 (DDoS) 僵尸网络。研究人员注意到，自 2023 年 5 月结束以来，该活动的强度急剧上升。

康迪背后是谁？

Condi 背后的主谋是一个在线绰号zxcr9999的人，他通过 Telegram 频道 Condi Network 积极宣传其非法活动。从 2022 年 5 月开始，威胁行为者通过提供 DDoS 即服务，甚至出售恶意软件的源代码，通过其僵尸网络获利。安全研究人员彻底分析了该恶意软件，发现其消除同一主机上竞争僵尸网络的能力。然而，Condi 缺乏持久化机制，导致它无法在系统重启后继续存在。

为了克服系统重新启动后持久性的限制，Condi 通过删除负责关闭或重新启动系统的多个二进制文件来采取行动。这些二进制文件包括 /usr/sbin/reboot、/usr/bin/reboot、/usr/sbin/shutdown、/usr/bin/shutdown、/usr/sbin/poweroff、/usr/bin/poweroff、/usr/sbin/暂停和 /usr/bin/halt。值得注意的是，Mirai 僵尸网络此前曾利用过该目标漏洞。

与其他广泛传播的恶意软件相反，Condi 利用扫描仪模块来识别易受 CVE-2023-1389 攻击的 TP-Link Archer AX21 路由器（CVSS 评分：8.8）。 Condi 不像某些僵尸网络那样采用暴力攻击，而是执行从远程服务器获取的 shell 脚本，将恶意软件存放在已识别的设备上。

据安全分析师称，Condi 的多个实例已经出现，利用各种已知的安全漏洞进行传播。这表明运行未修补软件的设备特别容易成为该僵尸网络恶意软件的目标。除了积极的货币化策略外，Condi 的主要目标是破坏设备并建立强大的 DDoS 僵尸网络。然后可以将该僵尸网络出租给其他威胁参与者，使他们能够对目标网站和服务发起 TCP 和 UDP 洪水攻击。

中和僵尸网络对于维护安全稳定的数字生态系统至关重要。僵尸网络（例如 Condi 恶意软件）可以利用未修补软件中的漏洞，并利用受感染设备的网络进行有害活动，例如 DDoS 攻击。这些攻击会破坏在线服务，并严重威胁关键基础设施的完整性和可用性。个人、组织和安全专业人员必须保持警惕，保持软件最新，并采用强大的安全措施来检测和减轻僵尸网络威胁。通过积极消除僵尸网络，我们可以保护我们的数字环境，并为所有用户打造更安全的在线环境。