Bleeping Computer 網(wǎng)站披露，上月初，被稱為 “MooBot ” 的 Mirai 惡意軟件僵尸網(wǎng)絡(luò)變種在新一輪攻擊浪潮中再次出現(xiàn)，以易受攻擊的 D-Link 路由器為目標，混合使用新舊漏洞，展開網(wǎng)絡(luò)攻擊。

2021 年 12 月，F(xiàn)ortinet 分析師發(fā)現(xiàn)了 MooBot 惡意軟件團伙，當(dāng)時該組織正在針對某廠商攝像頭中存在的一個漏洞，進行了 DDoS 攻擊。

惡意軟件開始針對 D-Link 設(shè)備

最近，研究人員發(fā)現(xiàn) MooBot 惡意軟件更新了其目標范圍。從 Palo Alto Network 的Unit 42 研究人員編制的報告來看，MooBot 現(xiàn)在主要針對 D-Link 路由器設(shè)備中存在的幾個關(guān)鍵漏洞。漏洞詳情如下：

• CVE-2015-2051: D-Link HNAP SOAPAction Header 命令執(zhí)行漏洞；
• CVE-2018-6530: D-Link SOAP 接口遠程代碼執(zhí)行漏洞；
• CVE-2022-26258: D-Link 遠程命令執(zhí)行漏洞；
• CVE-2022-28958: D-Link 遠程命令執(zhí)行漏洞。

用于利用 CVE-2022-26258 的有效載荷(unit 42)

MooBot 惡意軟件幕后操作者利用漏洞的低攻擊復(fù)雜性，在目標上遠程執(zhí)行代碼并使用任意命令獲取惡意軟件二進制文件。

MooBot 的最新攻擊概述（unit單元）

惡意軟件從配置中解碼出硬編碼地址后，新捕獲的路由器會立即被注冊在攻擊者的 C2 上。值得注意的是，unit 單元在報告中提出的 C2 地址與 Fortinet 的寫法不同，側(cè)面證明了攻擊者的基礎(chǔ)設(shè)施有了更新。

最終，被捕獲的路由器會參與針對不同目標的定向 DDoS 攻擊，具體怎樣操作取決于 MooBot 團伙希望實現(xiàn)的目標。不過通常情況下，攻擊者往往會向其他人出售 DDoS 服務(wù)。

目前，設(shè)備供應(yīng)商已經(jīng)發(fā)布了安全更新來解決上述漏洞，但并非所有用戶都應(yīng)用了更新補丁。其中最后兩個補丁是在今年 3 月和 5 月才發(fā)布，應(yīng)該還有用戶沒有更新補丁。

用戶需要及時應(yīng)用安全更新

據(jù)悉，一旦 D-Link 設(shè)備遭受攻擊，用戶可能會感到到網(wǎng)速下降、反應(yīng)遲鈍、路由器過熱或莫名其妙的 DNS 配置變化，這些都是僵尸網(wǎng)絡(luò)感染的常見跡象。

對于用戶來說，杜絕 MooBot 危害的最好方法是在 D-Link 路由器上應(yīng)用可用的固件更新。如果用戶使用的是一個舊設(shè)備，則應(yīng)將其配置為防止遠程訪問管理面板。

此外，如果用戶一旦感覺可能遭受了網(wǎng)絡(luò)入侵，應(yīng)該從相應(yīng)的物理按鈕執(zhí)行重置，例如改變管理密碼，然后立刻安裝供應(yīng)商提供的最新安全更新。

參考文章：https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/