Akamai 研究人员发现了一种新型 Mirai 僵尸网络变种,该变种专门针对 DigiEver DS-2105 Pro 数字视频录像机(DVR)中的漏洞。Akamai 研究人员还发现了一种基于 Mirai 的僵尸网络,正在利用 DigiEver DS-2105 Pro 网络视频录像机(NVR)中的远程代码执行漏洞。
专家指出,这种 Mirai 变种已经过修改,采用了更先进的加密算法。该 Mirai 变种融合了 ChaCha20 和 XOR 解密算法。2024 年 11 月,Akamai 安全情报研究团队(SIRT)观察到针对 URI /cgi-bin/cgi_main.cgi 的活动有所增加,这与一项利用包括 DigiEver DS-2105 Pro 在内的 DVR 设备中未分配的远程代码执行(RCE)漏洞的 Mirai 恶意软件活动有关。
Akamai 发布的分析报告指出:“对这一活动的进一步调查显示,出现了一个新的僵尸网络,自称为‘Hail Cock Botnet’,该网络至少自 2024 年 9 月以来一直活跃。‘Hail Cock Botnet’使用融合了 ChaCha20 和 XOR 解密算法的 Mirai 恶意软件变种,已在野外攻击易受攻击的物联网(IoT)设备,如 DigiEver DVR 和 TP-Link 设备,攻击途径为 CVE-2023-1389 漏洞。”
在利用漏洞后,恶意代码可通过 ntp 参数注入命令,使攻击者能够通过端口 80 的 HTTP POST 请求下载基于 Mirai 的恶意软件,并在 HTTP Referer 头中引用“IP 地址:80/cfg_system_time.htm”。
这种新型 Mirai 恶意软件变种还针对 TP-Link 的 CVE-2023-1389 漏洞以及影响 Teltonika RUT9XX 路由器的 CVE-2018-17532 漏洞。
该恶意软件通过从“hailcocks[.]ru”下载 shell 脚本的 cron 作业来保持持久性。
该僵尸网络使用 curl 或 wget 下载“wget.sh”文件,如果主机上不可用,则确保兼容性。
该恶意软件连接到多个主机进行 Telnet/SSH 暴力破解,并使用与“kingstonwikkerink[.]dyn”关联的单个 IP 地址进行 C2 通信。被攻击的主机在执行过程中会显示独特的字符串,旧版本显示“you are now apart of hail cock botnet”(你现在是 Hail Cock Botnet 的一部分),新版本则显示“I just wanna look after my cats, man.”(我只想照顾我的猫,伙计。)
报告总结道:“威胁行为者攻陷新主机的最简单方法之一是针对过时固件或已退役硬件。DigiEver DS-2105 Pro 就是一个例子,它现在大约已有 10 年的历史。硬件制造商并不总是为已退役设备发布补丁,而且制造商本身有时也已不复存在。因此,在无法获得也不太可能获得安全补丁的情况下,我们建议将易受攻击的设备升级到更新型号。”
Akamai 的报告包含了与这些攻击相关的妥协指标(IoC)以及用于检测威胁的 Yara 规则。