一個活躍的惡意軟件活動正在利用兩個具有遠程代碼執行 （RCE） 功能的零日漏洞，將路由器和錄像機連接到基于 Mirai 的分布式拒絕服務 （DDoS） 僵尸網絡中。

Akamai在本周發布的一份公告中說：有效載荷以路由器和網絡錄像機（NVR）設備為目標，使用默認管理員憑據，一旦成功就會安裝Mirai變種。

有關這些漏洞的詳細信息目前還處于保密狀態，以便這兩家廠商發布補丁，防止其他威脅行為者濫用這些漏洞。其中一個漏洞的修補程序預計將于下月發布。

網絡基礎設施和安全公司于 2023 年 10 月底首次發現了針對其蜜罐的攻擊。攻擊實施者的身份尚未確定。

由于在命令控制（C2）服務器和硬編碼字符串中使用了種族和攻擊性語言，該僵尸網絡被代號為InfectedSlurs，是2018年1月曝光的JenX Mirai惡意軟件變種。

Akamai表示，它還發現了更多似乎與hailBot Mirai變種有關的惡意軟件樣本，根據NSFOCUS最近的分析，后者出現于2023年9月。hailBot是基于Mirai源代碼開發的，其名稱源自運行后輸出的字符串信息'hail china mainland'。

Akamai詳細介紹了一種名為wso-ng的網絡外殼，它是WSO（"web shell by oRb "的縮寫）的 "高級迭代"，與VirusTotal和SecurityTrails等合法工具集成，同時在嘗試訪問時將其登錄界面隱藏在404錯誤頁面之后。

Web shell 的顯著偵察功能之一是檢索 AWS 元數據，以便隨后進行橫向移動，以及搜索潛在的 Redis 數據庫連接，從而在未經授權的情況下訪問敏感的應用程序數據。

微軟早在 2021 年就表示：Web shell 允許攻擊者在服務器上運行命令以竊取數據，或將服務器用作其他活動的助推器，如憑證竊取、橫向移動、部署額外的有效載荷或動手鍵盤活動，同時允許攻擊者在受影響的組織中持續存在。

參考鏈接：http://www.ythuaji.com.cn/uploads/allimg/nt0njmk1o5t