AIRASHI 殭屍網絡

Cambium Networks cnPilot 路由器中的零日漏洞已成為網路犯罪分子部署 AISURU 殭屍網路變體（AIRASHI）的最新工具。該活動自 2024 年 6 月開始活躍，利用該缺陷策劃強大的分散式阻斷服務 (DDoS) 攻擊。安全研究人員隱瞞了有關該漏洞的具體信息，以在調查正在進行期間限制其濫用。

漏洞被利用的歷史

AIRASHI 殭屍網路不限於單一攻擊媒介。它將一系列漏洞武器化，包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2020-25499、CVE-2020-8515、CVE-573 、 AVTECH IP 攝影機、LILIN DVR 和深圳 TVT 設備中發現了 CVE-2022-40005、CVE-2022-44149、CVE-2023-287 和其他缺陷。透過利用這些廣泛的弱點，AIRASHI 不斷擴大其影響力和複雜性。

DDoS 攻擊能力：仔細觀察

AIRASHI 背後的營運商並不羞於公開自己的活動，他們在 Telegram 上發布了其殭屍網路 DDoS 功能的測試結果。歷史數據顯示其攻擊能力穩定在1-3 Tbps左右。從地理位置來看，大多數受感染的設備位於巴西、俄羅斯、越南和印尼。然而，目標集中在中國、美國、波蘭和俄羅斯等地區，殭屍網路的有害操作在這些地區造成的破壞最為嚴重。

AISURU 到 AIRASHI 的演變

AIRASHI 源自 AISURU 殭屍網絡，該殭屍網絡此前於 2024 年 8 月在 Steam 上發生的一次備受矚目的 DDoS 攻擊中被發現，當時恰逢遊戲《黑神話：悟空》發布。在 2024 年 9 月暫時停止營運後，該殭屍網路重新出現，並更新了代號為「kitty」的功能，並於 11 月進一步改名為 AIRASHI。

雙重用途殭屍網路：AIRASHI-DDoS 和 AIRASHI-Proxy

AIRASHI 以兩種不同的形式運作：

• AIRASHI-DDoS ：此變體於 2024 年 10 月下旬偵測到，專注於 DDoS 攻擊，但擴展了其功能，包括任意命令執行和反向 shell 存取。
• AIRASHI-Proxy ：此版本於 2024 年 12 月推出，增加了代理功能，標誌著 DDoS 操作之外的服務多樣化。

推進通訊和加密

為了確保安全且有效率的運營，AIRASHI 採用了利用 HMAC-SHA256 和 CHACHA20 加密演算法的新網路協定。 AIRASHI-DDoS 支援 13 種不同的訊息類型，而 AIRASHI-Proxy 使用更簡化的方法，有 5 種。此外，殭屍網路動態調整其方法以透過 DNS 查詢檢索命令和控制 (C2) 伺服器詳細資訊。

殭屍網路和物聯網設備：持續的網路威脅

調查結果突顯了網路犯罪分子對物聯網設備漏洞的持續利用。物聯網設備既是不良行為者的入口點，也是建立強大殭屍網路的基礎。透過利用這些受損的設備，威脅行為者放大了 DDoS 攻擊的威力，這表明物聯網生態系統中增強設備安全性的迫切需求。