研究人員表示，ShadowV2 殭屍網絡利用 AWS 中斷進行安靜測試

Fortinet 的 FortiGuard 實驗室的安全研究人員發現了一種新的基於 Mirai 的殭屍網絡，稱為暗影V2它在 10 月份的 AWS 重大中斷期間悄然出現，針對全球易受攻擊的物聯網設備，並在中斷結束後不久就消失了。

研究人員表示，該殭屍網絡在 AWS 服務在全球範圍內開始出現故障後不久就開始活躍了大約 15 個小時。雖然中斷本身並不是由惡意軟件引起的，但不尋常的時機強烈表明攻擊者利用全球服務中斷作為掩護，在野外測試他們的惡意軟件。

廣泛的漏洞被利用

該殭屍網絡通過利用至少八個影響 D-Link、TP-Link、DD-WRT、DigiEver 和 TBK 等供應商的流行物聯網設備的已知漏洞進行傳播。這些缺陷涉及遠程命令執行、身份驗證繞過以及受影響的路由器、Wi-Fi 接入點、NAS 設備、DVR 和智能攝像頭系統。

被利用的漏洞包括：

DD-WRT：CVE-2009-2765

D-Link：CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915

閱讀更多：研究人員警告稱，俄羅斯和朝鮮可能正在同步進行網絡攻擊

數碼永遠：CVE-2023-52163

TBK：CVE-2024-3721

TP-Link：CVE-2024-53375

最令人擔憂的問題涉及報廢 NAS 型號（CVE-2024-10914 和 CVE-2024-10915），D-Link 已確認不會修補這些問題，從而使用戶永久暴露在風險中，除非完全更換硬件。

此外，TP-Link 的缺陷 (CVE-2024-53375) 已通過測試版固件更新得到解決，而 DigiEver 和 TBK 漏洞仍然是活躍的利用目標。 

全球分佈於 28 個國家和多個行業

在其短暫的活動窗口內，ShadowV2 從位於 198[.]199[.]72[.]27 的 IP 地址發起攻擊，試圖危害六大洲。受影響的地區包括：

美洲：美國、加拿大、墨西哥、巴西、玻利維亞、智利

歐洲：英國、荷蘭、比利時、法國、意大利、捷克、奧地利、克羅地亞、希臘

非洲：摩洛哥、埃及、南非

亞洲：土耳其、沙特阿拉伯、俄羅斯、中國、日本、台灣、泰國、菲律賓

大洋洲：澳大利亞

目標行業包括七個主要部門的組織，例如技術、製造、電信、政府、託管安全服務提供商、教育、零售和酒店業。廣泛的分佈表明攻擊者正在測試殭屍網絡在不同環境中感染和通信的能力。

ShadowV2 的工作原理

ShadowV2 將自己標識為“ShadowV2 Build v1.0.0 IoT 版本”，表明這是殭屍網絡的第一個專用 IoT 變體。 Fortinet 指出，它在結構上與經典的 Mirai 變體 LZRD 相似，結合了輕量級二進製文件和 XOR 編碼的配置數據以避免檢測。

感染過程：

• 攻擊者利用設備漏洞。
• 下載器腳本 sh 從 81[.]88[.]18[.]108 中刪除。
• 該腳本安裝 ShadowV2 有效負載，該有效負載與其命令和控制服務器聯繫
  silverpath[.]shadowstresser[.]信息。
• 受感染的設備成為殭屍網絡的一部分並等待 DDoS 指令。

一旦進入設備，ShadowV2 支持一整套基於 UDP、TCP 和 HTTP 的 DDoS 攻擊，使其適合高流量拒絕服務操作、犯罪 DDoS 僱傭服務或基於勒索的攻擊。 

為什麼 AWS 中斷是完美的測試場

攻擊者經常在重大服務中斷期間測試早期殭屍網絡，因為異常流量峰值不太可能發出警報。通過針對消費者和企業物聯網設備，ShadowV2 似乎旨在創建一個高度靈活的全球攻擊節點網絡。

雖然 ShadowV2 的活動窗口很短，但研究人員認為這是對其基礎設施的早期測試。研究人員補充說，他們可能會以更強大的力量回歸，開展規模更大、更具破壞性的活動——時間可能與重大停電或全球事件同時發生。

用戶和企業如何保護自己

Fortinet 建議所有用戶和 IT 團隊：

• 在所有支持的 IoT 和網絡設備上安裝最新的固件更新
• 淘汰 D-Link 和其他供應商的任何報廢硬件
• 禁用不必要的面向互聯網的管理功能，例如遠程管理和 UPnP
• 將物聯網設備放置在單獨的網絡上
• 監控出站連接或 DNS 請求是否存在可疑活動
• 在所有設備界面上使用強而獨特的密碼

FortiGuard 實驗室還發布了妥協指標 (IoC)並更新了防病毒和入侵防禦簽名 (IPS)，以幫助組織檢測和阻止 ShadowV2 活動。