Fortinet 旗下的資安專家,近期發現一個稱為 IZ1H9 的 Mirai DDoS 僵屍網路,最近新增了多達 13 種變種,以各廠牌型號基於 Linux 作業系統的路由器產品為目標加以攻擊。
Fortinet 的資安專家發現在 2023 年 9 月的第一周,由 IZ1H9 發動的攻擊次數達到近期的高峰,偵測到針對弱點裝置多達數萬次的攻擊行動。
IZ1H9 的典型攻擊手法是利用各廠牌網通產品的漏洞加以攻擊,植入 Mirai 變種 DDoS 僵屍網路程式,使該裝置成為其攻擊網路的一部分,再針對「租用」其服務的客戶需求,攻擊特定的網路目標。
這次 Fortinet 發現的新變種,分別鎖定攻擊的路由器廠牌與版本,包括 D-Link 多款產品、Netis WF2419、Sunhillo SureLine 8.7.0.1.1 之前版本、Geutebruck 多款產品、Yealink Device Management 3.6.0.20、Zyxel EMG 3525/VGM1312 V5.50 之前版本、TP-Link Archer AX21 (AX1800)、Korenix Jetware wireless AP、TOTOLINK 多款路由器產品等;主要都是透過這些產品已知但未及時更新的漏洞。
1Z1H9 在感染上述廠牌型號的路由器產品後,會先自一個特定 URL 載入名為 l.sh 的指令檔,執行該指令檔後,先行刪除路由器內的 log 檔案,以隱匿入侵行為,然後根據產品型號的不同,下載不同的酬載惡意軟體檔案,之後會修改路由器的 iptables 規則,並且將其連線轉到特定連接埠,以藏匿其連線動作,減少被阻擋的機會。之後該惡意軟體就會連線到其控制伺服器,等待攻擊命令下達後,再發動包括 UDP、UDP Plain、HTTP 泛濫、TCP SYN 等類型的 DDoS 攻擊。
建議各受影響廠牌路由器之用戶應立即更新到最新版本韌體,未提供更新者應考慮替換為較新機種。
- 參考連結
IZ1H9 Campaign Enhances Its Arsenal with Scores of Exploits
Mirai DDoS malware variant expands targets with 13 router exploits
留言列表