據SecurityAffairs消息，Moobot 僵尸網絡正在利用?？低暜a品的漏洞進行快速傳播。

資料顯示，Moobot是一款基于Mirai的僵尸網絡，2021年2月，Palo Alto Unit 42 安全研究人員首次發現并記錄了Moobot僵尸網絡，而最近頻繁出現的網絡攻擊表明，黑客組織正在增強他們的惡意軟件。

這是?？低暰W絡攝像機/NVR固件中，一個未經身份驗證的遠程代碼執行(RCE)漏洞，編號為CVE-2021-36260。這個關鍵問題影響了?？低暺煜?0多個款攝像頭，由于對輸入參數校驗不充分，未經身份驗證的攻擊者通過構造帶有惡意命令的報文發送到影響設備，可實現遠程命令執行。

該漏洞由一位安全研究人員發現，花名“Watchful IP”。在攻破IP攝像機后，攻擊者還可以通過受感染的設備訪問內部網絡，從而對使用這些設備的基礎設施構成風險。需要注意的是，利用該漏洞不需要用戶交互，攻擊者只需要訪問http(s)服務器端口(通常為80/443)即可。

海康威視表示，只有當攻擊者訪問的設備與Internet有直接接口時，才可以觸發該漏洞。2021年9月，?？低曇呀浲ㄟ^固件更新 (v 210628)修復了該漏洞 ，但并非所有用戶都急于應用安全更新。

Fortinet 報告稱，Moobot 僵尸網絡正在利用這個缺陷來破壞未打補丁的設備并從受害者那里提取敏感數據。

“在我們(Fortinet)的分析過程中，發現大量有效載荷試圖利用此漏洞從受感染的設備獲取敏感數據。其中一個有效載荷還試圖刪除一個表現出的感染行為，并執行 Moobot 僵尸網絡的下載程序。”

Fortinet安全研究人員還發現一個偽裝成“macHelper”的惡意軟件下載器，它使用“hikivision”參數獲取并執行 Moobot。該惡意軟件還會修改“重啟”等基本命令，防止管理員重啟受感染的設備。

在這個過程中，Fortinet 安全研究人員發現Moobot僵尸網絡和Mirai 存在一定的相似之處，此外，Moobot還借鑒了Satori僵尸網絡的一些元素，并最終成為一種支持多種攻擊方式的 DDoS 僵尸網絡。

參考來源：https://securityaffairs.co/wordpress/125409/malware/moobot-botnet-hikvision.html