10月20日AWS傳出大規模故障.影響142項服務及知名企業組織的應用系統運作,傳出有殭屍網路疑似趁亂進行測試,藉此預備從事相關攻擊。
資安業者Fortinet在AWS服務中斷期間,發現殭屍網路病毒ShadowV2的最新一波活動,駭客透過物聯網裝置的漏洞擴散,攻擊範圍涵蓋全球,包括臺灣在內共28個國家出現災情,受害企業組織橫跨科技、零售與旅館業、製造業、資安服務代管供應商(MSSP)、政府、電信業者,以及教育等7種領域的產業,特別的是,這波活動出現的時間並不長,只有在AWS發生故障的3個小時,因此Fortinet認為,攻擊者顯然是正在進行測試,為後續的實際攻擊做準備。
這次攻擊者利用的漏洞有那些?其中有半數是D-Link路由器與NAS的已知漏洞,CVSS風險值皆達到9.8分,它們的編號是:CVE-2020-25506、CVE-2022-37055、CVE-2024-10914,以及CVE-2024-10915。值得留意的是,除了CVE-2024-10915已有修補程式,其餘3項漏洞,D-Link表明因受影響設備的生命週期已經結束(EOL),他們不會提供新版韌體,呼籲用戶更換設備。
其他遭到ShadowV2利用的資安漏洞,目前部分廠商沒有提供修補程式的狀態,包括永恒數位通訊科技(Digiever)網路視訊監視設備(NVR)漏洞CVE-2023-52163、TP-Link路由器漏洞CVE-2024-53375、TBK DVR設備漏洞CVE-2024-3721,以及開源路由器韌體DD-WRT的弱點CVE-2009-2765。
針對ShadowV2這支惡意程式,Fortinet提及是Mirai的變種,與另一個變種LZRD結構類似,ShadowV2啟動的過程裡,會解密經XOR演算法處理的組態檔案並初始化,連線C2伺服器接收DDoS攻擊命令,然後執行。
ShadowV2活動在3個月前曾經出現,當時資安業者Darktrace指出駭客針對AWS EC2環境而來,尋找曝露於網際網路的Docker環境,綁架後用來提供受僱型DDoS攻擊服務(DDoS-for-hire)。
熱門新聞
2025-12-24
2025-12-26
2025-12-26
2025-12-26
2025-12-29
2025-12-26
2025-12-26