大規模殭屍網路活動
Qualys Security 部落格文章詳細介紹了一場大規模殭屍網路(Botnet)攻擊活動,稱為 Murdoc Botnet,它是 Mirai 惡意軟體的一個變種(Variant)。攻擊自 2024 年 7 月開始,針對 AVTECH 攝影機和華為 HG532 路由器,使用 ELF 檔案和 Shell script 來部署惡意軟體。研究人員發現涉及超過 1300 個活躍 IP 和 100 多個命令與控制伺服器。受影響的國家包括馬來西亞、泰國、墨西哥和印度尼西亞。
深入分析:Murdoc 殭屍網路 對 IoT 的威脅
Murdoc Botnet 的變種
Murdoc Botnet 是 Mirai 惡意軟體的變種,專門針對有漏洞的 AVTECH 和華為設備。此殭屍網路使用現有漏洞(如 CVE-2024-7029 和 CVE-2017-17215)來下載Payload。在 Murdoc Botnet 活動中,研究人員觀察到 ELF 檔案和 Shell script的執行,導致了殭屍網路樣本的部署。這種技術在 2024 年就曾出現,當時攻擊者利用相同的漏洞來傳播惡意軟體Payload。
樣本分析
研究人員分析了超過 500 個包含 ELF 和 ShellScript 檔案的樣本。 每個 ShellScript 都被載入到 IP 攝影機、網路設備和物聯網設備等設備上(IoT device)。然後,C2 伺服器將 Murdoc Botnet 載入到設備中。所有分析的樣本均使用相同的感染流機制。
惡意軟體的感染流程
惡意軟體 shell script使用 GTFOBins 來:
- 使用 wget 指令取得Payload。
- 使用chmod指令授予Payload執行權限。
- 執行Payload。
- 移除Payload。
來源文章的Payload顯示殭屍網路的目標是 AVTECH 攝影機。 透過這種注入,惡意軟體二進位檔案使用 wget/ftpget 命令來取得 shellscript 檔案、執行它並將其刪除。