Moobot 僵尸網絡“盯上了”D-Link 路由器
Bleeping Computer 網站披露,上月初,被稱為 “MooBot ” 的 Mirai 惡意軟件僵尸網絡變種在新一輪攻擊浪潮中再次出現,以易受攻擊的 D-Link 路由器為目標,混合使用新舊漏洞,展開網絡攻擊。
2021 年 12 月,Fortinet 分析師發現了 MooBot 惡意軟件團伙,當時該組織正在針對某廠商攝像頭中存在的一個漏洞,進行了 DDoS 攻擊。
惡意軟件開始針對 D-Link 設備
最近,研究人員發現 MooBot 惡意軟件更新了其目標范圍。從 Palo Alto Network 的Unit 42 研究人員編制的報告來看,MooBot 現在主要針對 D-Link 路由器設備中存在的幾個關鍵漏洞。漏洞詳情如下:
- CVE-2015-2051: D-Link HNAP SOAPAction Header 命令執行漏洞;
- CVE-2018-6530: D-Link SOAP 接口遠程代碼執行漏洞;
- CVE-2022-26258: D-Link 遠程命令執行漏洞;
- CVE-2022-28958: D-Link 遠程命令執行漏洞。
用于利用 CVE-2022-26258 的有效載荷(unit 42)
MooBot 惡意軟件幕后操作者利用漏洞的低攻擊復雜性,在目標上遠程執行代碼并使用任意命令獲取惡意軟件二進制文件。
MooBot 的最新攻擊概述(unit單元)
惡意軟件從配置中解碼出硬編碼地址后,新捕獲的路由器會立即被注冊在攻擊者的 C2 上。值得注意的是,unit 單元在報告中提出的 C2 地址與 Fortinet 的寫法不同,側面證明了攻擊者的基礎設施有了更新。
最終,被捕獲的路由器會參與針對不同目標的定向 DDoS 攻擊,具體怎樣操作取決于 MooBot 團伙希望實現的目標。不過通常情況下,攻擊者往往會向其他人出售 DDoS 服務。
目前,設備供應商已經發布了安全更新來解決上述漏洞,但并非所有用戶都應用了更新補丁。其中最后兩個補丁是在今年 3 月和 5 月才發布,應該還有用戶沒有更新補丁。
用戶需要及時應用安全更新
據悉,一旦 D-Link 設備遭受攻擊,用戶可能會感到到網速下降、反應遲鈍、路由器過熱或莫名其妙的 DNS 配置變化,這些都是僵尸網絡感染的常見跡象。
對于用戶來說,杜絕 MooBot 危害的最好方法是在 D-Link 路由器上應用可用的固件更新。如果用戶使用的是一個舊設備,則應將其配置為防止遠程訪問管理面板。
此外,如果用戶一旦感覺可能遭受了網絡入侵,應該從相應的物理按鈕執行重置,例如改變管理密碼,然后立刻安裝供應商提供的最新安全更新。
參考文章:https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/