Condi是第二个利用CVE-2023-1389的DDoS僵尸网络，Mirai僵尸网络于2023年4月将其作为目标。FortiGuard Labs已经识别出许多利用其他已知安全漏洞的Condi DDoS僵尸网络样本，使未打补丁的软件面临被僵尸网络恶意软件利用的更高风险。

FortiGuard Labs研究人员发现了名为Condi的DDoS即服务僵尸网络的新样本，并在2023年6月20日发布的最新报告中分享了其功能。Fortinet研究人员写道，自2023年5月以来，他们的监控系统收集了许多Condi样本，表明僵尸网络运营商正试图扩大其影响范围。

根据他们的研究，Condi是通过利用TP-Link Archer AX21(AX1800)Wi-Fi 6路由器进行分发的，这些路由器容易受到ZDI发现的CVE-2023-1389的攻击。这是第二个利用此漏洞的DDoS僵尸网络， Mirai僵尸网络于2023年4月将其作为目标。AX1800是一款基于Linux的双频路由器，具有1.8 GBPS带宽。

与其他通过暴力攻击分布的僵尸网络不同，Condi具有一个用于检查易受攻击的AX21路由器的模块。如果找到，它会执行从远程服务器获取的shell脚本来传递恶意软件。它专门搜索易受CVE-2023-1389攻击的路由器。

Condi是一个智能僵尸网络，可以杀死其竞争对手僵尸网络的所有进程。

/bin/busybox

/bin/systemd

/usr/bin

test

/tmp/condi

/tmp/zxcr9999

/tmp/condinetwork

/var/condibot

/var/zxcr9999

/var/CondiBot

/var/condinet

/bin/watchdog

此外，Condi阻止其旧版本执行任何活动。但是，此实现存在缺陷，因为Name字段仅包含进程的可执行文件名称而不是它们的完整路径。

此外，Condi会终止所有具有二进制文件名的进程，这些文件名包含其他僵尸网络常用的扩展名，包括：
x86

x86_64

arm

arm5

arm6

arm7

mips

mipsel

sh4

PPC

但是，它缺乏持久性，并且如果系统重新启动则无法存活。为了解决这个问题，恶意软件删除了几个用于重启或关闭设备的二进制文件。这些二进制文件包括：

/usr/sbin/reboot

/usr/bin/reboot

/usr/sbin/shutdown

/usr/bin/shutdown

/usr/sbin/poweroff

/usr/bin/poweroff

/usr/sbin/halt

/usr/bin/halt

Condi展示了激进的货币化技术，并且能够诱捕设备以创建强大的DDoS僵尸网络，网络犯罪分子可以租用这些设备对网站发起TCP和UDP洪水攻击。

供您参考，CVE-2023-1389（CVSS评分为8.8）是去年3月中旬在路由器的Web管理界面API中发现的高危未经身份验证的命令注入和远程代码执行漏洞。ZDI于2023年1月向供应商报告了此缺陷，之后TP-Link于2023年3月发布了安全更新，版本为1.1.4 Build 20230219。

据来自FortiGuard Labs的安全研究人员Joie Salvio和Roy Tay称，这个僵尸网络是由一个在Telegram上使用别名zxcr9999的威胁演员操作的。该演员拥有一个名为Condi Network的Telegram频道，该频道于2022年5月启动，主要是为了推广他们的服务，甚至出售恶意软件源代码。

研究人员在一篇博客文章中写道：“威胁行为者一直在通过提供DDoS即服务和出售恶意软件源代码来从其僵尸网络中获利。 ”

研究人员发现了许多利用其他已知安全漏洞的Condi样本，使未打补丁的软件更容易被僵尸网络恶意软件利用。因此，在发布补丁后更新您的软件是必不可少的。