網路攻擊者 正在利用 Cambium Networks cnPilot 路由器中未指定的零日漏洞來部署名為 AIRASHI 的 AISURU 殭屍網路變體,以實施分散式阻斷服務 (DDoS) 攻擊,分散式阻斷服務 (DDoS) 殭屍網路武器化的其他一些缺陷包括CVE-2013-3307、CVE -2016-20016、CVE-2017-5259、CVE-2018-14558、CVE -2020-25499 8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-28771,以及影響 AVTECH IP 攝影機、LILIN DVR 與深圳 TVT 設備的漏洞。
XLab 表示,AIRASHI 的運營商已在 Telegram 上發布了他們的 DDoS 能力測試結果,從歷史數據可以看出,AIRASHI殭屍網路的攻擊能力穩定在1-3 Tbps左右。大多數受感染的設備位於巴西、俄羅斯、越南和印度尼西亞,其中中國、美國、波蘭和俄羅斯成為惡意群體的主要目標。
AIRASHI 是AISURU (又名 NAKOTNE)殭屍網路的變體,該網路安全公司曾於 2024 年 8 月標記該殭屍網路與針對 Steam 的 DDoS 攻擊有關,該攻擊大約與遊戲《黑神話:悟空》的發布同時發生,作為一個經常更新的殭屍網絡,AIRASHI 的某些變體也被發現包含代理軟體功能,這表明威脅行為者打算將其服務擴展到促進 DDoS 攻擊之外,據稱 AISURU 於 2024 年 9 月暫停了攻擊活動,一個月後以更新的功能重新出現(稱為 kitty),並於 11 月底再次刷新(又稱為 AIRASHI)。
AIRASHI 至少有兩種不同的類別:
1. AIRASHI-DDoS(10月下旬首次偵測到): 主要針對DDoS攻擊,但也支援任意指令執行和反向shell訪問。
2. AIRASHI-Proxy(於 12 月初首次檢測): 是具有代理功能的 AIRASHI-DDoS 的修改版本。
該殭屍網路除了不斷調整其方法以透過 DNS 查詢獲取 C2 伺服器詳細資訊之外,還依賴一種全新的網路協議,其中涉及 HMAC-SHA256 和 CHACHA20 演算法進行通訊。此外,AIRASHI-DDoS 支援 13 種訊息類型,而 AIRASHI-Proxy 僅支援 5 種訊息類型。
調查結果表明,不良行為者繼續利用物聯網設備中的漏洞作為初始存取向量,並建立殭屍網絡,利用它們來增加強大的 DDoS 攻擊,同時,也被揭露了一個名為 alphatronBot 的跨平台後門,該後門的目標是中國政府和企業,將受感染的 Windows 和 Linux 系統納入殭屍網路。該惡意軟體自 2023 年初開始活躍,採用名為PeerChat的合法開源點對點 (P2P) 聊天應用程式與其他受感染節點進行對話。
P2P 協定的去中心化性質意味著攻擊者可以透過任何受感染的節點發出命令,而無需透過單一 C2 伺服器路由它們,從而使殭屍網路對攻擊更具彈性,根據調查指出,後門內置的 700 多個 P2P 網路由來自 80 個國家和地區的受感染網路設備組件組成。節點涉及MikroTik路由器、海康攝影機、VPS伺服器、DLink路由器、CPE設備等。
去年,XLab 還詳細介紹了一個代號為 DarkCracks 的複雜且隱密的有效負載交付框架,該框架利用受損的 GLPI 和 WordPress 網站充當下載器和 C2 伺服器,其主要目標是從受感染的設備收集敏感信息,保持長期訪問,並使用受感染的、穩定的、高性能的設備作為中繼節點來控制其他設備或傳遞惡意負載,從而有效地混淆攻擊者的足跡,但進而發現受損的系統屬於不同國家的關鍵基礎設施,包括學校網站、公共交通系統和監獄訪客系統。
參考資料:
https://thehackernews.com/2025/01/hackers-exploit-zero-day-in-cnpilot.html