基於著名的 Mirai 病毒的 Gayfemboy 殭屍網路目前正在全球範圍內傳播。透過利用 20 多個嚴重的安全漏洞,該惡意軟體能夠控制包括路由器在內的數千台裝置。它用它來發動短暫但強大的網路攻擊。
Chainxin X Lab研究人員發現了一個新的殭屍網絡,名為Gayfemboy,正在進行密集繁殖。該惡意軟體主要針對路由器和連接的設備。
殭屍網路的首選目標包括來自 Four-Faith 和 Neterbit 品牌的路由器,或來自 Vimar 的面向家庭自動化和智慧家庭的連接物件。目標還包括華碩、LB-Link 或華為路由器。
零日漏洞被利用
為了控制這些設備,殭屍網路利用零日安全漏洞。這些漏洞尚未被發現,更不用說開發人員已經修復了。這對網路犯罪分子來說是一個福音。據專家稱,Gayfemboy 依賴 20 多個不同的漏洞。
駭客特別利用了一個漏洞,最終在上個月殭屍網路開始使用該漏洞後被發現。此缺陷允許攻擊者利用路由器的預設憑證來執行遠端命令,而無需任何身份驗證。事實上,他們完全控制了路由器。根據最新消息,該漏洞影響超過 15,000 個四信路由器。
Mirai 殭屍網路的變種
Gayfemboy 殭屍網絡基於的原始碼未來是一種強大的惡意軟體,於 2016 年首次發現。眾所周知,它會清除受感染設備上的競爭惡意軟體以壟斷所有資源。
原始碼很快就被其創建者公開,這使得其他網路犯罪分子可以對其進行修改並創建強大的變體,例如 Mozi、Okiru 或 Satori。
Gayfemboy殭屍網路自去年年初開始活躍,主要活躍於中國、美國、俄羅斯、土耳其和伊朗。目前該網絡包括15,000 台受感染設備,分散在這些不同的國家。它以斷斷續續的波浪形式傳播。
這並不是唯一在世界各地傳播的 Mirai 變種。幾天前,Fortinet 網路安全研究人員發現Ficora 造成的感染明顯增加是 Mirai 的另一個版本,專為利用 D-Link 品牌路由器的漏洞而設計。
DDoS 攻擊的起點
Chainxin X Lab 鎖定的新殭屍網路 Mirroring Ficora 使用受感染的裝置來策劃 DDoS 攻擊(例如分散式阻斷服務, 或者分散式阻斷服務法語)。透過被駭終端網絡,殭屍網路會向目標網站的伺服器發送大量請求。這波請求將使目標站點暫時癱瘓。
通常,Gayfemboy 殭屍網路攻擊不會持續很長時間。雖然不超過30秒,但是特別強大。最強大的伺服器在盜版網路的攻擊下也面臨崩潰的風險。受害者主要分佈在中國、美國、德國、英國和新加坡,來自各行各業。
Chainxin X 實驗室的報告稱,每天,受到 Gayfemboy 攻擊的設備網路都會攻擊數百個不同的實體。 2024 年 10 月至 11 月期間,進攻數量尤其激增。
來源 : Chainxin X Lab
