根据Akamai官方博客的文章,Akamai 安全情报响应团队 (SIRT) 发现了两个存在远程代码执行 (RCE) 功能的零日漏洞,这两个漏洞已报告给厂商。这些漏洞正在被广泛利用,以构建分布式拒绝服务 (DDoS)僵尸网络。该僵尸网络参与了一项长期活动,Akamai SIRT 自 2022 年底以来一直在定制的蜜罐上进行监控它。该僵尸网络利用了流行的恶意软件家族 Mirai,以具有默认管理员登录密码的路由器和网络录像机 (NVR) 设备为目标,并在成功时安装 Mirai 变体。
InfectedSlurs因其在 C2 域名和硬编码字符串中使用脏话而得名,是JenX Mirai的变体,包含近 2 万台受感染的设备。
C2 基础设施似乎还托管有其他的恶意软件活动。
Akamai 研究人员正在监控InfectedSlurs活动,Akamai SIRT 在全球布置了多个蜜罐,他们于 2023 年 10 月下旬在一个很少使用的 TCP 端口出现异常后首次在蜜罐中发现了该活动。与此同时,该僵尸网络最初于 2022 年底出现。
攻击者尝试通过 POST 请求进行身份验证,然后进行命令注入。
在分析整个目标设备池后,发现它们属于特定供应商,而事实证明,该供应商没有为正在利用的关键 RCE 问题分配 CVE。
进一步调查显示,该恶意软件还使用多个 NVR 解决方案供应商手册中描述的默认凭据来安装机器人客户端并执行其他恶意操作。
研究人员指出,受影响的供应商尚未提交修复程序。这些漏洞的补丁预计在 12 月份发布,因此该公司目前没有透露具体的供应商。
与Mirai 一样,InfectedSlurs没有保存机制。由于缺乏针对受影响设备的补丁,重新启动 NVR 和 root 设备应该会暂时破坏僵尸网络。
此外,研究人员建议禁用标准凭证,并隔离潜在易受攻击的设备,根据给定的IOC、Yara 和 Snort对其进行扫描,以寻找入侵的迹象。