黑客积极利用物联网漏洞部署新型ShadowV2恶意软件
2025年10月下旬,正值全球AWS服务中断期间,一场名为ShadowV2的新型恶意软件活动浮出水面。这一复杂威胁积极利用物联网设备中的漏洞,组建用于分布式拒绝服务攻击的僵尸网络。该恶意软件的快速部署表明,这是一次旨在利用被入侵硬件进行大规模破坏活动的协调行动。
感染迅速波及七个行业,包括科技、教育和零售业,影响了美国、欧洲和亚洲的组织。专家认为,此次激增很可能是一次“测试运行”,旨在评估该僵尸网络造成广泛服务中断的潜力。此次活动的广泛性凸显了企业环境中未受保护的联网设备所带来的持续风险。
Fortinet的安全分析师发现,该恶意软件利用了D-Link和TP-Link等厂商路由器和DVR中未被修补的旧安全漏洞。通过针对这些已知弱点,攻击者成功入侵了大量未能更新最新固件补丁的设备。
攻击链始于易受攻击的设备被迫从远程服务器81.88.18.108下载一个名为binary.sh的脚本。
下载脚本 binary.sh(来源:Fortinet)
如上图所示,该脚本会自动检测主机的架构(无论是ARM、MIPS还是x86),并获取相应的恶意软件有效载荷以确保成功执行。
ShadowV2的技术分析
ShadowV2仿照了“LZRD” Mirai变种的架构,但采用了不同的混淆技术。启动时,它使用简单的异或密码(密钥为0x22)来解密其配置。
| 厂商 | CVE ID | 漏洞详情 |
|---|---|---|
| DDWRT | CVE-2009-2765 | HTTP守护进程任意命令执行 |
| D-Link | CVE-2020-25506 | ShareCenter CGI代码执行 |
| D-Link | CVE-2022-37055 | HNAP Main中的缓冲区溢出 |
| D-Link | CVE-2024-10914 | 账户管理器命令注入 |
| D-Link | CVE-2024-10915 | 账户管理器命令注入 |
| DigiEver | CVE-2023-52163 | 时间设置CGI命令注入 |
| TBK | CVE-2024-3721 | DVR命令注入 |
| TP-Link | CVE-2024-53375 | Archer设备命令注入 |
这些隐藏数据包括文件路径(如/proc/)和用于将恶意流量伪装成合法用户活动的欺骗性User-Agent字符串。
异或编码的配置(来源:Fortinet)
一旦激活,恶意软件便会与其命令与控制服务器建立联系以接收攻击指令。它支持多种DDoS攻击向量,包括UDP洪泛和TCP SYN洪泛攻击,并将这些行为映射到特定的内部函数ID,以便快速对目标发起攻击。