Bleeping Computer 網站披露，上月初，被稱為 “MooBot ” 的 Mirai 惡意軟件僵尸網絡變種在新一輪攻擊浪潮中再次出現，以易受攻擊的 D-Link 路由器為目標，混合使用新舊漏洞，展開網絡攻擊。

2021 年 12 月，Fortinet 分析師發現了 MooBot 惡意軟件團伙，當時該組織正在針對某廠商攝像頭中存在的一個漏洞，進行了 DDoS 攻擊。

惡意軟件開始針對 D-Link 設備

最近，研究人員發現 MooBot 惡意軟件更新了其目標范圍。從 Palo Alto Network 的Unit 42 研究人員編制的報告來看，MooBot 現在主要針對 D-Link 路由器設備中存在的幾個關鍵漏洞。漏洞詳情如下：

• CVE-2015-2051: D-Link HNAP SOAPAction Header 命令執行漏洞；
• CVE-2018-6530: D-Link SOAP 接口遠程代碼執行漏洞；
• CVE-2022-26258: D-Link 遠程命令執行漏洞；
• CVE-2022-28958: D-Link 遠程命令執行漏洞。

用于利用 CVE-2022-26258 的有效載荷(unit 42)

MooBot 惡意軟件幕后操作者利用漏洞的低攻擊復雜性，在目標上遠程執行代碼并使用任意命令獲取惡意軟件二進制文件。

MooBot 的最新攻擊概述（unit單元）

惡意軟件從配置中解碼出硬編碼地址后，新捕獲的路由器會立即被注冊在攻擊者的 C2 上。值得注意的是，unit 單元在報告中提出的 C2 地址與 Fortinet 的寫法不同，側面證明了攻擊者的基礎設施有了更新。

最終，被捕獲的路由器會參與針對不同目標的定向 DDoS 攻擊，具體怎樣操作取決于 MooBot 團伙希望實現的目標。不過通常情況下，攻擊者往往會向其他人出售 DDoS 服務。

目前，設備供應商已經發布了安全更新來解決上述漏洞，但并非所有用戶都應用了更新補丁。其中最后兩個補丁是在今年 3 月和 5 月才發布，應該還有用戶沒有更新補丁。

用戶需要及時應用安全更新

據悉，一旦 D-Link 設備遭受攻擊，用戶可能會感到到網速下降、反應遲鈍、路由器過熱或莫名其妙的 DNS 配置變化，這些都是僵尸網絡感染的常見跡象。

對于用戶來說，杜絕 MooBot 危害的最好方法是在 D-Link 路由器上應用可用的固件更新。如果用戶使用的是一個舊設備，則應將其配置為防止遠程訪問管理面板。

此外，如果用戶一旦感覺可能遭受了網絡入侵，應該從相應的物理按鈕執行重置，例如改變管理密碼，然后立刻安裝供應商提供的最新安全更新。

參考文章：https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/