名為Condi的新型惡意軟體利用 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器全漏洞將設備綁架到DDoS 殭屍網路中。
Fortinet FortiGuard Labs表示,Condi攻擊活動自今年5月底以來一直增強。Telegram 上別名為 「zxcr9999」是這起Condi攻擊活動的主始者。zxcr9999自去年5月開始出售惡意軟體程式碼並提供「DDoS即服務」營利。
研究人員表示,Condi可以終止運行在同一主機上其他殭屍網路的能力。但Condi缺乏持久性,意味著系統重新開機後,Condi無法繼續運行。為了解決此限制,Condi會刪除多個用於關閉或重新啟動系統的二進位檔案:
- /usr/sbin/reboot
- /usr/bin/reboot
- /usr/sbin/shutdown
- /usr/bin/shutdown
- /usr/sbin/poweroff
- /usr/bin/poweroff
- /usr/sbin/halt
- /usr/bin/halt
Condi 與一些透過暴力攻擊傳播的殭屍網路不同,它掃描易受攻擊的 TP-Link Archer AX21 設備,以執行從遠端伺服器的 shell 腳本投放惡意軟體。
易受攻擊的 TP-Link Archer AX21 設備是受CVE-2023-1389(CVSS 評分:8.8)漏洞影響的路由器。CVE-2023-1389是先前被 Mirai 殭屍網路利用的命令注入漏洞。
Fortinet 表示也有其他 Condi 攻擊樣本。這些樣本利用幾個已知的安全漏洞進行傳播,這表示未修補漏洞的路由器或物聯網設備是殭屍網路惡意軟體的潛在目標。
Condi 的目標是捕獲這些設備來建立一個強大的 DDoS 殭屍網路,可以用來出租給其他攻擊者策劃 TCP 和 UDP 洪水攻擊。
本文轉載自TheHackerNews。