Bleeping Computer 網站披露，一個被追蹤為“V3G4”的 Mirai 惡意軟件新變種異?；钴S，正在利用基于 Linux 服務器和物聯網設備中的 13 個漏洞，展開 DDoS（分布式拒絕服務）攻擊。

據悉，Mirai 惡意軟件主要通過暴力破解 telnet/SSH 憑證或利用硬編碼缺陷，在目標設備上執(zhí)行遠程代碼進行傳播，一旦攻破目標設備防御系統，立刻感染設備并將其招募到自身僵尸網絡中。

2022 年 7 月至 2022 年 12 月，Palo Alto Networks（Unit 42）研究員在三個不同網絡攻擊活動中發(fā)現了“V3G4”惡意軟件。經詳細分析，研究員發(fā)現硬編碼的 C2 域包含相同字符串，shell 腳本也類似，并且所有攻擊中使用的僵尸網絡客戶端具有相同功能，基于此，Unit 42 推測這三個攻擊都來自同一網絡犯罪分子。

此外，安全研究員指出“V3G4”的攻擊活動從利用以下 13 個漏洞開始：

• CVE-2012-4869: FreePBX Elastix remote command execution
• Gitorious remote command execution
• CVE-2014-9727: FRITZ!Box Webcam remote command execution
• Mitel AWC remote command execution
• CVE-2017-5173: Geutebruck IP Cameras remote command execution
• CVE-2019-15107: Webmin command injection
• Spree Commerce arbitrary command execution
• FLIR Thermal Camera remote command execution
• CVE-2020-8515: DrayTek Vigor remote command execution
• CVE-2020-15415: DrayTek Vigor remote command execution
• CVE-2022-36267: Airspan AirSpot remote command execution
• CVE-2022-26134: Atlassian Confluence remote command execution
• CVE-2022-4257: C-Data Web Management System command injection

V3G4 利用的安全漏洞

一旦成功入侵目標設備，基于 Mirai 惡意軟件的有效載荷便立即投放到系統中，并開始嘗試連接硬編碼的C2 地址。此外，“V3G4 ”還試圖終止硬編碼列表中其它競爭性僵尸網絡惡意軟件家族的感染進程。 

試圖停止“競爭者”進程

值得注意的是，不同于其它大多數 Mirai 惡意軟件變種僅僅使用一個 OXR 加密密鑰，“V3G4”使用四個不同的 XOR 加密密鑰，這樣使得對惡意軟件代碼的逆向工程和對其功能解碼更具挑戰(zhàn)性。

當“V3G4”傳播到其它目標設備時，DDoS 僵尸網絡使用 telnet/SSH 暴力程序，試圖使用默認或弱憑據進行連接。最后，被攻擊設備直接從 C2 發(fā)出包括 TCP、UDP、SYN 和 HTTP 泛濫方法等在內的 DDoS 命令。

DDoS 命令

安全研究人員指出，新變種“V3G4”很可能向希望對特定網站或在線服務發(fā)動網絡攻擊的客戶出售 DDoS 服務。

值得一提的是，雖然目前沒有跡象表明變體“V3G4”與某個網絡攻擊服務聯系起來，但為了更好的確保設備免受類似 Mirai 惡意軟件感染，用戶應及時改變默認密碼并安裝安全更新。