新的Mirai变种和ZHtrap僵尸网络恶意软件在野外出现

网络安全研究人员周一透露，正在进行的新一波攻击利用多个漏洞在互联网连接设备上部署新的Mirai变体。

Palo Alto Networks的42单元威胁情报团队在一篇总结文章中说：“成功利用该漏洞后，攻击者试图下载一个恶意外壳脚本，其中包含进一步的感染行为，如下载和执行Mirai变体和暴力执行器。”。

大量被利用的漏洞包括：

• VisualDoor——今年1月初曝光的SonicWall SSL-VPN远程命令注入漏洞
• CVE-2020-25506-D-Link DNS-320防火墙远程代码执行（RCE）漏洞
• CVE-2021-27561和CVE-2021-27562——Yealink设备管理中的两个漏洞，允许未经验证的攻击者以root权限在服务器上运行任意命令
• CVE-2021-22502-微焦点操作桥接器（OBR）中的RCE缺陷，影响版本10.40
• CVE-2019-19356——Netis WF2419无线路由器RCE漏洞，以及
• CVE-2020-26919-Netgear ProSAFE Plus RCE漏洞

SonicWall在对《黑客新闻》的一份声明中说：“VisualDoor攻击的目标是一个旧的SSL-VPN固件漏洞，该漏洞于2015年在7.5.1.4-43sv和8.0.0.4-25sv版本的旧产品上修补。”。“对于任何经过正确修补的SonicWall设备，这是不可行的。”

混合中还包括三个以前未公开的命令注入漏洞，它们是针对未知目标部署的，据研究人员称，其中一个漏洞与另一个名为MooBot的僵尸网络一起被观察到。

据称，从2月16日到最近的3月13日，这些袭击已经被发现了一个月。

不管成功利用漏洞的漏洞是什么，攻击链都涉及使用wget实用程序从恶意软件基础设施下载一个shell脚本，然后用于获取Mirai二进制文件，这是一个臭名昭著的恶意软件，它将运行Linux的联网物联网设备变成远程控制的机器人，可以作为僵尸网络的一部分用于大规模网络攻击。

除了下载Mirai之外，还发现了其他shell脚本，用于检索可执行文件，以促进暴力攻击，从而侵入密码较弱的易受攻击设备。

“物联网领域仍然是攻击者容易接近的目标。许多漏洞很容易被利用，在某些情况下可能会造成灾难性后果，”研究人员说。

新ZHtrap僵尸网络使用蜜罐诱捕受害者

在一个相关的发展中，中国安全公司Netlab 360的研究人员发现了一个新的基于Mirai的僵尸网络ZHtrap，它利用蜜罐来捕获更多的受害者，同时借鉴了DDoS僵尸网络Matryosh的一些功能。

虽然蜜罐通常会模仿网络罪犯的目标，以便利用他们的入侵企图收集更多有关其操作方式的信息，但ZHtrap僵尸网络使用了类似的技术，集成了扫描IP收集模块，以收集IP地址，这些IP地址被用作进一步类似蠕虫传播的目标。

它通过监听23个指定端口并识别连接到这些端口的IP地址来实现这一点，然后使用累积的IP地址来检查它们是否存在四个漏洞以注入有效负载-

• MVPower DVR外壳未经验证的RCE
• Netgear DGN1000设置。cgi未经认证的RCE
• 影响多家供应商的CCTV DVR RCE，以及
• Realtek SDK miniigd SOAP命令执行（CVE-2014-8361）

“ZHtrap的传播使用了四个N天漏洞，主要功能是DDoS和扫描，同时集成了一些后门功能，”研究人员说。“Zhtrap在受感染的设备上设置蜜罐，[并]为受害设备拍摄快照，并禁用基于快照的新命令的运行，从而实现对设备的独占性。”

一旦ZHtrap接管了这些设备，它就会从Matryosh僵尸网络获得提示，使用Tor与命令和控制服务器进行通信，下载并执行额外的有效载荷。

注意到袭击从2021年2月28日开始，研究人员说，ZHAP将感染的设备变成蜜罐的能力标志着僵尸网络的“有趣”进化，以便于发现更多的目标。

这些基于Mirai的僵尸网络是最新出现在威胁领域的，部分原因是自2016年以来Mirai的源代码在互联网上的可用性，为其他攻击者构建自己的变种打开了广阔的领域。

去年3月，研究人员发现了一种名为“Mukashi”的Mirai变体，该变体被发现以Zyxel网络连接存储（NAS）设备为目标，将其引入僵尸网络。然后在2020年10月，Avira的物联网研究团队发现了Mirai僵尸网络的另一个变种“Katana”，它利用远程代码执行漏洞感染D-Link DSL-7740C路由器、DOCSIS 3.1无线网关设备和Dell PowerConnect 6224交换机。