技術支援
文件
登錄
聯繫我們
多個惡意軟體困擾著 Cacti 和 Realtek 漏洞
奧班拉·奧佩耶米
實施期間: 2023年4月 11 日 - TuxCare專家團隊
網路安全專家最近發現,傳播惡意軟體和攻擊易受攻擊的網路設備的殭屍網路活動顯著增加。這些攻擊通過利用兩個軟體工具中的缺陷來傳播ShellBot和Moobot惡意軟體:Realtek Jungle SDK和Cacti故障管理監控工具。
作為目標的兩個漏洞 CVE-2021-35394 和 CVE-2022-46169 被認為非常嚴重,因為它們允許攻擊者遠端執行代碼。CVE-2022-46169 是一個漏洞,允許攻擊者繞過身份驗證並將命令注入 Cacti 伺服器,而 CVE-2021-35394 是一個允許將任意命令注入 Realtek 叢林 SDK 的漏洞。值得一提的是,其他殭屍網路軟體,如Fodcha,RedGoBot,Mirai,Gafgyt和Mozi已經利用了這些漏洞。
根據Fortinet FortiGuard Labs的研究,網路攻擊者一直在利用這些漏洞來傳播ShellBot(也稱為PerlBot)和MooBot惡意軟體。雖然它之前曾被用來傳播Mirai、Gafgyt、Mozi和RedGoBot,但這是它第一次被用來分發MooBot,這是一個自2019年以來一直活躍的Mirai版本。
Moobot 通過利用 CVE-2022-46169 和 CVE-2021-35394 感染易受攻擊的主機。當 Moobot 感染電腦時,它會下載包含其設置的腳本並連接到 C2 伺服器。之後,病毒會傳輸檢測信號消息,直到收到命令,此時它會發起攻擊。Moobot 掃描和終止來自其他殭屍網路的進程的能力使其能夠優化受感染主機的硬體資源並執行 DDoS 攻擊。
另一方面,ShellBot主要關注利用Cacti漏洞。Fortinet發現了三個獨立版本的ShellBot,表明它正在積極開發中。初始版本連接到 C2 伺服器並等待命令執行不同的操作,例如埠掃描、刪除檔和資料夾、傳輸版本資訊、下載檔、發起 UDP DDoS 攻擊或注入反向外殼。第二個版本有一套更廣泛的指令,以及一個用於升級漏洞的模組,該模組從公共公告中提取數據,並從PacketStorm和milw0rm中提取新聞。
Fortinet的報告沒有明確說明相同的威脅行為者是否傳播Moobot和ShellBot。儘管如此,仍然觀察到有效載荷在重疊攻擊爆發中利用了相同的缺陷。防禦Mootbot和ShellBot的建議操作是使用強管理員密碼並應用修復上述漏洞的安全更新。如果您的設備不再受其供應商支援,則應將其替換為較新的型號以接收安全更新。
這篇文章的來源包括 BleepingComputer上的一篇文章。
