據BleepingComputer消息，一個基于Mirai的新型僵尸網絡正在積極利用DigiEver網絡錄像機中的一個遠程代碼執行漏洞，該漏洞尚未獲得編號，也暫無修復補丁。

Akamai 研究人員觀察到，該僵尸網絡于 11 月中旬開始利用該漏洞，但證據表明該活動至少自 9 月以來就一直活躍。

除了 DigiEver 漏洞外，新的 Mirai 惡意軟件變體還分別利用CVE-2023-1389和 CVE-2018-17532 漏洞針對未打安全補丁的 TP-Link 和 Teltonika RUT9XX 路由器。

研究人員稱，被用來攻擊 DigiEver NVR 的遠程代碼執行 （RCE） 漏洞源自“/cgi-bin/cgi_main. cgi”URI，該URI 未正確驗證用戶輸入，允許未經身份驗證的遠程攻擊者通過某些參數（如 HTTP POST 請求中的 ntp 字段）注入 "curl "和 "chmod "等命令。

通過命令注入，攻擊者從外部服務器獲取惡意軟件二進制文件，并將設備加入其僵尸網絡。 設備一旦被入侵，就會被用來進行分布式拒絕服務（DDoS）攻擊，或利用漏洞集和憑證列表擴散到其他設備。

Akamai表示，新Mirai變種的顯著特點是使用了XOR和ChaCha20加密技術，并以x86、ARM和MIPS等多種系統架構為目標，這不同于許多基于 Mirai 的僵尸網絡仍然依賴于原始的字符串混淆邏輯，這種邏輯來自于原始 Mirai 惡意軟件源代碼發布時包含的回收代碼。 雖然采用復雜的解密方法并不新穎，但這表明基于Mirai的僵尸網絡的戰術、技術和程序在不斷發展。

據悉，早在去年羅馬尼亞布加勒斯特舉行的 DefCamp 安全會議上，TXOne 研究員 Ta-Lun Yen就曾揭露過該漏洞，該問題當時影響了多個 DVR 設備。