黑客正积极利用物联网漏洞部署新型ShadowV2恶意软件
2025年10月下旬,一场名为ShadowV2的新恶意软件活动与一次全球性的AWS服务中断事件同时出现。这一复杂威胁积极利用物联网设备中的漏洞来组建僵尸网络,以发动分布式拒绝服务攻击。
该恶意软件的快速部署表明,这是一次旨在利用被入侵硬件进行大规模破坏性活动的协调行动。感染迅速蔓延至包括科技、教育和零售在内的七个行业,影响了美国、欧洲和亚洲的组织。专家认为,此次激增很可能是一次旨在评估该僵尸网络造成广泛服务中断潜力的“测试运行”。此次活动的广泛性凸显了企业环境中未受保护的联网设备所面临的持续风险。
Fortinet的安全分析师发现,该恶意软件利用了D-Link和TP-Link等厂商的路由器和DVR中一些较旧的、未修补的安全漏洞。通过瞄准这些已知弱点,攻击者成功入侵了许多未能更新到最新固件补丁的设备。
攻击链始于一个易受攻击的设备被迫从远程服务器81.88.18.108下载一个名为binary.sh的脚本。
下载脚本 binary.sh
如上图所示,此脚本会自动检测主机的架构——无论是ARM、MIPS还是x86——并获取相应的恶意软件负载以确保成功执行。
ShadowV2技术分析
ShadowV2镜像了“LZRD”Mirai变种的架构,但采用了独特的混淆技术。启动时,它使用简单的异或密码(密钥为0x22)来解密其配置。
供应商与相关CVE漏洞表
| 供应商 | CVE ID | 漏洞详情 |
|---|---|---|
| DDWRT | CVE-2009-2765 | HTTP守护程序任意命令执行 |
| D-Link | CVE-2020-25506 | ShareCenter CGI代码执行 |
| D-Link | CVE-2022-37055 | HNAP Main中的缓冲区溢出 |
| D-Link | CVE-2024-10914 | 账户管理器命令注入 |
| D-Link | CVE-2024-10915 | 账户管理器命令注入 |
| DigiEver | CVE-2023-52163 | 时间设置CGI命令注入 |
| TBK | CVE-2024-3721 | DVR命令注入 |
| TP-Link | CVE-2024-53375 | Archer设备命令注入 |
这些隐藏数据包括文件路径(如/proc/)和旨在将恶意流量伪装成合法用户活动的欺骗性User-Agent字符串。
异或编码配置
一旦激活,恶意软件便会与其命令与控制服务器建立联系以接收攻击指令。它支持多种DDoS攻击向量,包括UDP洪泛和TCP SYN洪泛,并将这些行为映射到特定的内部函数ID,以便快速针对目标进行部署。