根据Fortinet旗下FortiGuard Labs的报告，一个名为ShadowV2、基于Mirai的僵尸网络在去年10月那次波及广泛的AWS（亚马逊云科技）服务中断期间出现，感染了跨越多个行业和各大洲的物联网（IoT）设备，此次事件很可能是一次针对未来攻击的“测试运行”。

在感染了存在漏洞的设备、组建起一支物联网“僵尸大军”后，ShadowV2这一Mirai变种允许攻击者远程控制这些设备网络，并发起大规模攻击，包括分布式拒绝服务（DDoS）流量洪水攻击。

幸运的是，该恶意软件仅在持续一整天的AWS中断期间保持活跃——那次中断也导致多个主要网站离线数小时。

在这段时间内，它通过多个厂商设备中存在的数个漏洞进行传播，涉及的漏洞包括：DD-WRT（CVE-2009-2765）、D-Link（CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915）、DigiEver（CVE-2023-52163）、TBK（CVE-2024-3721）以及TP-Link（CVE-2024-53375），杀毒软件分析师Vincent Li在周三的一篇博客文章中写道。

虽然这个云原生僵尸网络ShadowV2在9月的攻击活动中曾主要针对AWS EC2实例，但最近这次组建僵尸网络的行动影响了多个行业，包括科技、零售和酒店业、制造业、托管安全服务提供商、政府、电信和运营商服务以及教育行业。攻击波及28个国家：加拿大、美国、墨西哥、巴西、玻利维亚、智利、英国、荷兰、比利时、法国、捷克、奥地利、意大利、克罗地亚、希腊、摩洛哥、埃及、南非、土耳其、沙特阿拉伯、俄罗斯、哈萨克斯坦、中国、泰国、日本、台湾、菲律宾和澳大利亚。

Fortinet在博客文章中指出，攻击者利用设备漏洞投放一个下载器脚本（binary.sh），该脚本随后从IP地址81[.]88[.]18[.]108下载以“shadow”为前缀的二进制文件，从而部署ShadowV2恶意软件。

它与LZRD Mirai变种类似，会初始化一个经过XOR编码的配置，然后连接到命令与控制服务器以接收指令并触发DDoS攻击。

然而，在执行时，它会显示以下字符串：ShadowV2 Build v1.0.0 IoT version。“基于这个字符串，我们评估它可能是为物联网设备开发的ShadowV2的第一个版本，”Li写道。

虽然迄今为止，这款感染物联网设备的恶意软件的活动仅发生在AWS中断期间，但该僵尸网络的出现有力地提醒人们需要确保物联网设备安全、更新固件并监控异常和垃圾网络流量。Fortinet还发布了一份详尽的入侵指标列表，请务必查看这些内容以协助进行威胁狩猎。正如Li所指出的：“ShadowV2表明，在更广泛的网络安全格局中，物联网设备仍然是一个薄弱环节。”

在ShadowV2的测试运行后不久，微软表示Azure遭遇了“有史以来最大”的基于云的DDoS攻击，攻击源自Aisuru僵尸网络，峰值流量达到15.72 Tbps。微软的云DDoS防护服务在10月24日缓解了这次流量海啸——其峰值接近每秒36.4亿个数据包，并且根据微软的说法，没有任何客户的工作负载因此出现服务中断。