详细内容或原文请订阅后点击阅览
Gayfemboy 僵尸网络针对 Four-Faith 路由器漏洞
Mirai 僵尸网络变种 Gayfemboy 自 2024 年 11 月以来一直在利用 Four-Faith 工业路由器中的漏洞发起 DDoS 攻击。Gayfemboy 僵尸网络于 2024 年 2 月首次被发现,它借用了基本 Mirai 变种的代码,现在集成了 N-day 和 0-day 漏洞。到 2024 年 11 月,Gayfemboy 利用了 Four-Faith 中的 0-day 漏洞 […]
来源:Security Affairs _恶意软件Gayfemboy 僵尸网络针对 Four-Faith 路由器漏洞
Gayfemboy 僵尸网络针对 Four-Faith 路由器漏洞
Mirai 僵尸网络变种 Gayfemboy 自 2024 年 11 月以来一直在利用 Four-Faith 工业路由器中的漏洞发起 DDoS 攻击。
Gayfemboy 僵尸网络于 2024 年 2 月首次被发现,它借用了 Mirai 基本变种的代码,现在集成了 N-day 和 0-day 漏洞。
Mirai到 2024 年 11 月,Gayfemboy 利用了 Four-Faith 工业路由器和 Neterbit 路由器以及 Vimar 智能家居设备中的 0-day 漏洞,每日活跃节点超过 15,000 个。僵尸网络背后的运营者还对追踪它的研究人员发动了 DDoS 攻击。
奇安信 XLab 专家观察到 Gayfemboy 通过利用 20 多个漏洞来传播其机器人,他们还试图利用 Telnet 弱凭据。研究人员发现,攻击者瞄准了 Four-Faith 工业路由器中的零日漏洞 CVE-2024-12856,以及影响 Neterbit 和 Vimar 设备的几个未知漏洞。
CVE-2024-12856Gayfemboy 利用了各种漏洞,包括 DVR、路由器和安全设备中的 CVE-2013-3307、CVE-2021-35394、CVE-2024-8957 等。
CVE-2013-3307 CVE-2021-35394 CVE-2024-8957感染主要发生在中国、美国、伊朗、俄罗斯和土耳其。
“当 Gayfemboy 机器人连接到 C2 时,它们会携带用于识别和组织受感染设备的分组信息,使攻击者能够有效地管理和控制大型僵尸网络。这些分组信息通常包括关键标识符,例如设备的操作系统类型或其他识别详细信息。”奇安信 XLab 发布的报告中写道。“许多攻击者还喜欢使用感染方法作为标识符。Gayfemboy 的分组信息基于设备详细信息。主要感染设备如下:
Bot IP组数感染方式感染设备