北京
近日,工業和信息化部網絡安全威脅和漏洞信息共享平臺(CSTIS)監測發現Morte僵尸網絡持續活躍,其主要攻擊目標為SOHO路由器、物聯網(IoT)設備及Oracle WebLogic、WordPress、vBulletin等企業應用,可能導致數據泄露、系統受控、業務中斷等風險。
Morte僵尸網絡是一種依賴“加載器即服務(LaaS)”模式運作的網絡安全威脅,已活躍至少6個月。該僵尸網絡主要通過三種方式入侵目標:一是Web界面命令注入,攻擊者濫用ntp、syslog、hostname等未過濾的POST參數,執行wget/curl | sh等惡意shell命令;二是暴力破解或憑證噴灑設備默認憑證(如admin:admin);三是利用已知漏洞,包括CVE-2019-16759(vBulletin預認證RCE)、CVE-2019-17574(WordPress Popup Maker插件漏洞)等。入侵目標系統后,攻擊者首先釋放小型shell腳本作為dropper(投放器,一種輕量隱蔽的惡意腳本或程序,作為初始跳板秘密部署后續惡意載荷),隨后安裝跨架構原生二進制文件(如morte.x86、morte.x86_64),借助BusyBox工具實現多平臺的兼容性,同時利用計劃任務、進程注入等技術實現對目標系統的長久控制,最終部署加密貨幣挖礦模塊(如基于JSON-RPC協議的eth_getWork),劫持設備CPU/GPU資源進行加密貨幣挖礦。此外,Morte支持HTTP C2輪詢,在數十個IP間輪換基礎設施以逃避追蹤,攻擊者可借此執行DDoS攻擊、數據竊取、轉售被攻陷設備訪問權至黑市或進一步橫向滲透擴大威脅。
建議相關單位和用戶立即組織排查,修復相關設備及應用的安全漏洞,禁用默認登錄憑證,關閉不必要的路由器診斷頁面,更新防病毒軟件,實施全盤病毒查殺,并可通過定期備份數據等措施,防范網絡攻擊風險。
參考及來源:網絡安全威脅和漏洞信息共享平臺
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
