Condi是第二个利用CVE-2023-1389的DDoS僵尸网络,Mirai僵尸网络于2023年4月将其作为目标。FortiGuard Labs已经识别出许多利用其他已知安全漏洞的Condi DDoS僵尸网络样本,使未打补丁的软件面临被僵尸网络恶意软件利用的更高风险。
FortiGuard Labs研究人员发现了名为Condi的DDoS即服务僵尸网络的新样本,并在2023年6月20日发布的最新报告中分享了其功能。Fortinet研究人员写道,自2023年5月以来,他们的监控系统收集了许多Condi样本,表明僵尸网络运营商正试图扩大其影响范围。
根据他们的研究,Condi是通过利用TP-Link Archer AX21(AX1800)Wi-Fi 6路由器进行分发的,这些路由器容易受到ZDI发现的CVE-2023-1389的攻击。这是第二个利用此漏洞的DDoS僵尸网络, Mirai僵尸网络于2023年4月将其作为目标。AX1800是一款基于Linux的双频路由器,具有1.8 GBPS带宽。
与其他通过暴力攻击分布的僵尸网络不同,Condi具有一个用于检查易受攻击的AX21路由器的模块。如果找到,它会执行从远程服务器获取的shell脚本来传递恶意软件。它专门搜索易受CVE-2023-1389攻击的路由器。
Condi是一个智能僵尸网络,可以杀死其竞争对手僵尸网络的所有进程。
/bin/busybox
/bin/systemd
/usr/bin
test
/tmp/condi
/tmp/zxcr9999
/tmp/condinetwork
/var/condibot
/var/zxcr9999
/var/CondiBot
/var/condinet
/bin/watchdog
此外,Condi阻止其旧版本执行任何活动。但是,此实现存在缺陷,因为Name字段仅包含进程的可执行文件名称而不是它们的完整路径。
此外,Condi会终止所有具有二进制文件名的进程,这些文件名包含其他僵尸网络常用的扩展名,包括:x86
x86_64
arm
arm5
arm6
arm7
mips
mipsel
sh4
PPC
但是,它缺乏持久性,并且如果系统重新启动则无法存活。为了解决这个问题,恶意软件删除了几个用于重启或关闭设备的二进制文件。这些二进制文件包括:
/usr/sbin/reboot
/usr/bin/reboot
/usr/sbin/shutdown
/usr/bin/shutdown
/usr/sbin/poweroff
/usr/bin/poweroff
/usr/sbin/halt
/usr/bin/halt
Condi展示了激进的货币化技术,并且能够诱捕设备以创建强大的DDoS僵尸网络,网络犯罪分子可以租用这些设备对网站发起TCP和UDP洪水攻击。
供您参考,CVE-2023-1389(CVSS评分为8.8)是去年3月中旬在路由器的Web管理界面API中发现的高危未经身份验证的命令注入和远程代码执行漏洞。ZDI于2023年1月向供应商报告了此缺陷,之后TP-Link于2023年3月发布了安全更新,版本为1.1.4 Build 20230219。
据来自FortiGuard Labs的安全研究人员Joie Salvio和Roy Tay称,这个僵尸网络是由一个在Telegram上使用别名zxcr9999的威胁演员操作的。该演员拥有一个名为Condi Network的Telegram频道,该频道于2022年5月启动,主要是为了推广他们的服务,甚至出售恶意软件源代码。
研究人员在一篇博客文章中写道:“威胁行为者一直在通过提供DDoS即服务和出售恶意软件源代码来从其僵尸网络中获利。 ”
研究人员发现了许多利用其他已知安全漏洞的Condi样本,使未打补丁的软件更容易被僵尸网络恶意软件利用。因此,在发布补丁后更新您的软件是必不可少的。
评论已关闭。