Bleeping Computer 網(wǎng)站披露，一個被追蹤為“V3G4”的 Mirai 惡意軟件新變種異常活躍，正在利用基于 Linux 服務(wù)器和物聯(lián)網(wǎng)設(shè)備中的 13 個漏洞，展開 DDoS（分布式拒絕服務(wù)）攻擊。

據(jù)悉，Mirai 惡意軟件主要通過暴力破解 telnet/SSH 憑證或利用硬編碼缺陷，在目標(biāo)設(shè)備上執(zhí)行遠(yuǎn)程代碼進(jìn)行傳播，一旦攻破目標(biāo)設(shè)備防御系統(tǒng)，立刻感染設(shè)備并將其招募到自身僵尸網(wǎng)絡(luò)中。

2022 年 7 月至 2022 年 12 月，Palo Alto Networks（Unit 42）研究員在三個不同網(wǎng)絡(luò)攻擊活動中發(fā)現(xiàn)了“V3G4”惡意軟件。經(jīng)詳細(xì)分析，研究員發(fā)現(xiàn)硬編碼的 C2 域包含相同字符串，shell 腳本也類似，并且所有攻擊中使用的僵尸網(wǎng)絡(luò)客戶端具有相同功能，基于此，Unit 42 推測這三個攻擊都來自同一網(wǎng)絡(luò)犯罪分子。

此外，安全研究員指出“V3G4”的攻擊活動從利用以下 13 個漏洞開始：

• CVE-2012-4869: FreePBX Elastix remote command execution
• Gitorious remote command execution
• CVE-2014-9727: FRITZ!Box Webcam remote command execution
• Mitel AWC remote command execution
• CVE-2017-5173: Geutebruck IP Cameras remote command execution
• CVE-2019-15107: Webmin command injection
• Spree Commerce arbitrary command execution
• FLIR Thermal Camera remote command execution
• CVE-2020-8515: DrayTek Vigor remote command execution
• CVE-2020-15415: DrayTek Vigor remote command execution
• CVE-2022-36267: Airspan AirSpot remote command execution
• CVE-2022-26134: Atlassian Confluence remote command execution
• CVE-2022-4257: C-Data Web Management System command injection

V3G4 利用的安全漏洞

一旦成功入侵目標(biāo)設(shè)備，基于 Mirai 惡意軟件的有效載荷便立即投放到系統(tǒng)中，并開始嘗試連接硬編碼的C2 地址。此外，“V3G4 ”還試圖終止硬編碼列表中其它競爭性僵尸網(wǎng)絡(luò)惡意軟件家族的感染進(jìn)程。 

試圖停止“競爭者”進(jìn)程

值得注意的是，不同于其它大多數(shù) Mirai 惡意軟件變種僅僅使用一個 OXR 加密密鑰，“V3G4”使用四個不同的 XOR 加密密鑰，這樣使得對惡意軟件代碼的逆向工程和對其功能解碼更具挑戰(zhàn)性。

當(dāng)“V3G4”傳播到其它目標(biāo)設(shè)備時，DDoS 僵尸網(wǎng)絡(luò)使用 telnet/SSH 暴力程序，試圖使用默認(rèn)或弱憑據(jù)進(jìn)行連接。最后，被攻擊設(shè)備直接從 C2 發(fā)出包括 TCP、UDP、SYN 和 HTTP 泛濫方法等在內(nèi)的 DDoS 命令。

DDoS 命令

安全研究人員指出，新變種“V3G4”很可能向希望對特定網(wǎng)站或在線服務(wù)發(fā)動網(wǎng)絡(luò)攻擊的客戶出售 DDoS 服務(wù)。

值得一提的是，雖然目前沒有跡象表明變體“V3G4”與某個網(wǎng)絡(luò)攻擊服務(wù)聯(lián)系起來，但為了更好的確保設(shè)備免受類似 Mirai 惡意軟件感染，用戶應(yīng)及時改變默認(rèn)密碼并安裝安全更新。