一個活躍的惡意軟件活動正在利用兩個具有遠(yuǎn)程代碼執(zhí)行 （RCE） 功能的零日漏洞，將路由器和錄像機(jī)連接到基于 Mirai 的分布式拒絕服務(wù) （DDoS） 僵尸網(wǎng)絡(luò)中。

Akamai在本周發(fā)布的一份公告中說：有效載荷以路由器和網(wǎng)絡(luò)錄像機(jī)（NVR）設(shè)備為目標(biāo)，使用默認(rèn)管理員憑據(jù)，一旦成功就會安裝Mirai變種。

有關(guān)這些漏洞的詳細(xì)信息目前還處于保密狀態(tài)，以便這兩家廠商發(fā)布補(bǔ)丁，防止其他威脅行為者濫用這些漏洞。其中一個漏洞的修補(bǔ)程序預(yù)計將于下月發(fā)布。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施和安全公司于 2023 年 10 月底首次發(fā)現(xiàn)了針對其蜜罐的攻擊。攻擊實施者的身份尚未確定。

由于在命令控制（C2）服務(wù)器和硬編碼字符串中使用了種族和攻擊性語言，該僵尸網(wǎng)絡(luò)被代號為InfectedSlurs，是2018年1月曝光的JenX Mirai惡意軟件變種。

Akamai表示，它還發(fā)現(xiàn)了更多似乎與hailBot Mirai變種有關(guān)的惡意軟件樣本，根據(jù)NSFOCUS最近的分析，后者出現(xiàn)于2023年9月。hailBot是基于Mirai源代碼開發(fā)的，其名稱源自運(yùn)行后輸出的字符串信息'hail china mainland'。

Akamai詳細(xì)介紹了一種名為wso-ng的網(wǎng)絡(luò)外殼，它是WSO（"web shell by oRb "的縮寫）的 "高級迭代"，與VirusTotal和SecurityTrails等合法工具集成，同時在嘗試訪問時將其登錄界面隱藏在404錯誤頁面之后。

Web shell 的顯著偵察功能之一是檢索 AWS 元數(shù)據(jù)，以便隨后進(jìn)行橫向移動，以及搜索潛在的 Redis 數(shù)據(jù)庫連接，從而在未經(jīng)授權(quán)的情況下訪問敏感的應(yīng)用程序數(shù)據(jù)。

微軟早在 2021 年就表示：Web shell 允許攻擊者在服務(wù)器上運(yùn)行命令以竊取數(shù)據(jù)，或?qū)⒎?wù)器用作其他活動的助推器，如憑證竊取、橫向移動、部署額外的有效載荷或動手鍵盤活動，同時允許攻擊者在受影響的組織中持續(xù)存在。

參考鏈接：https://thehackernews.com/2023/11/mirai-based-botnet-exploiting-zero-day.html