Dark Mirai Botnet
儘管 Mirai 殭屍網絡在幾年前被關閉,但它的遺產繼續存在。殭屍網絡源代碼發布後,許多網絡犯罪分子以此為基礎創建自己的惡意軟件版本。仍然活躍的 Mirai分支之一被信息安全社區跟踪為 Dark Mirai(又名 MANGA)。據 Fortinet 的研究人員稱,他們正在監視該殭屍網絡的活動,其運營商正在繼續為其配備新的漏洞以供利用。
最新添加到 Dark Mirai 中的一個影響了一系列流行的 TP-Link 家用路由器。更具體地說,受影響的型號是 2017 年發布的 TL-WR840N EU V5。特定漏洞 - CVE-2021-41653 由於存在易受攻擊的"主機"變量,允許經過身份驗證的用戶在設備上執行命令。應該注意的是,TP-Link 在 2021 年 11 月 12 日發布固件更新時解決了這個問題,因此 Dark Mirai 黑客寄希望於用戶不更新他們的設備並保持脆弱。
發現合適的設備後,攻擊者將利用 CVE-2021-41653 漏洞下載並執行名為"tshit.sh"的腳本。然後該腳本負責通過兩個請求獲取主要負載。由於攻擊者需要進行身份驗證,因此仍然使用路由器默認憑據的用戶最有可能受到攻擊。
部署後,Dark Mirai 將識別受感染路由器的架構,然後繼續獲取適當的負載。然後,威脅將通過關閉幾個常見目標端口來隔離設備,使其免受其他競爭殭屍網絡的潛在滲透。黑暗未來將保持休眠狀態,等待來自其命令與控制 (C&C) 服務器的命令。
