基于著名的 Mirai 病毒的 Gayfemboy 僵尸网络目前正在全球范围内传播。通过利用 20 多个严重的安全漏洞,该恶意软件能够控制包括路由器在内的数千台设备。它用它来发起短暂但强大的网络攻击。
Chainxin X Lab研究人员发现了一个新的僵尸网络,名为Gayfemboy,正在进行密集繁殖。该恶意软件主要针对路由器和连接的设备。
僵尸网络的首选目标包括来自 Four-Faith 和 Neterbit 品牌的路由器,或来自 Vimar 的面向家庭自动化和智能家居的连接对象。目标还包括华硕、LB-Link 或华为路由器。
零日漏洞被利用
为了控制这些设备,僵尸网络利用零日安全漏洞。这些漏洞尚未被发现,更不用说开发人员修复了。这对网络犯罪分子来说是一个福音。据专家称,Gayfemboy 依赖于 20 多个不同的漏洞。
黑客特别利用了一个漏洞,该漏洞最终在上个月僵尸网络开始使用该漏洞后被发现。此缺陷允许攻击者利用路由器的默认凭据来执行远程命令,而无需任何身份验证。事实上,他们完全控制了路由器。据最新消息,该漏洞影响超过 15,000 个四信路由器。
Mirai 僵尸网络的变种
Gayfemboy 僵尸网络基于的源代码未来是一种强大的恶意软件,于 2016 年首次发现。最初,它主要针对 IoT(物联网)设备,例如联网摄像头、路由器和其他智能设备,依靠默认标识符或弱密码。众所周知,它会清除受感染设备上的竞争恶意软件以垄断所有资源。
源代码很快被其创建者公开,这使得其他网络犯罪分子可以对其进行修改并创建强大的变体,例如 Mozi、Okiru 或 Satori。
Gayfemboy僵尸网络自去年年初开始活跃,主要活跃在中国、美国、俄罗斯、土耳其和伊朗。目前该网络包括15,000 台受感染设备,分散在这些不同的国家。它以断断续续的波浪形式传播。
这并不是唯一在世界范围内传播的 Mirai 变种。几天前,Fortinet 网络安全研究人员发现Ficora 造成的感染明显增加是 Mirai 的另一个版本,专为利用 D-Link 品牌路由器的漏洞而设计。
DDoS 攻击的起点
Chainxin X Lab 锁定的新僵尸网络 Mirroring Ficora 使用受感染的设备来策划 DDoS 攻击(例如分布式拒绝服务, 或者分布式拒绝服务法语)。通过被黑终端网络,僵尸网络会向目标网站的服务器发送大量请求。这波请求将使目标站点暂时瘫痪。
通常,Gayfemboy 僵尸网络攻击不会持续很长时间。虽然不超过30秒,但是特别强大。最强大的服务器在盗版网络的攻击下也面临着崩溃的风险。受害者主要分布在中国、美国、德国、英国和新加坡,来自各行各业。
Chainxin X 实验室的报告称,每天,受到 Gayfemboy 攻击的设备网络都会攻击数百个不同的实体。 2024 年 10 月至 11 月期间,进攻数量尤其激增。
来源 : Chainxin X Lab
