详细内容或原文请订阅后点击阅览
数千个受感染的 D-Link、作为真正妥协伪装的通信故障以及 2013 年的旧漏洞仍然有效
家用电器多年来一直在等待更新,但它们得到了完全不同的东西。
来源:安全实验室新闻频道数千个受感染的 D-Link、作为真正妥协伪装的通信故障以及 2013 年的旧漏洞仍然有效
家用电器多年来一直在等待更新,但它们得到了完全不同的东西。
较旧的家用路由器通常在支持结束后仍保持在线数年,正是这批设备成为了新的 AryStinger 僵尸网络的基础,该僵尸网络感染了全球 4,000 多个旧版 D-Link 路由器。
来自Qianxin XLab 团队的专家发现,该恶意软件将被黑客入侵的设备变成远程控制节点。通过它们,僵尸网络操作者可以扫描网络、代理恶意流量、构建隧道、执行命令并准备进一步的攻击。 AryStinger 将寻找目标的大型任务分解为多个部分,并将其分配到受感染的设备中,因此每个点的侦察速度更快且不太引人注目。
该僵尸网络主要攻击D-Link DIR-850L和D-Link DIR-818LW型号,利用旧漏洞CVE-2013-3307、CVE-2016-5681和CVE-2025-11837。 AVrecon 之前曾针对相同的模型进行攻击,Lumen 于 2023 年停止了该服务。根据千信遥测数据,近一半的感染发生在韩国,约三分之一发生在中国。接下来是瑞典、马来西亚和新加坡。
AryStinger 的危险不仅限于流量代理。该恶意软件可以更改 DNS 设置、将用户重定向到虚假或恶意资源,并秘密监视传入和传出的网络流量。对于受感染路由器的所有者来说,尽管该设备已经在为僵尸网络运营商工作,但妥协可能看起来像是正常的通信故障或奇怪的网站行为。
专家尚未将 AryStinger 与已知的黑客组织联系起来。建议过时的 D-Link 路由器的所有者将设备更换为当前型号、安装最新的可用固件更新、更改默认管理员密码并禁用通过互联网的远程管理。