详细内容或原文请订阅后点击阅览
Broadside 僵尸网络攻击 TBK DVR,为海运物流敲响警报
Cydome 警告称,基于 Mirai 的 Broadside 僵尸网络以易受攻击的 TBK Vision DVR 为目标,对海运物流行业构成潜在威胁。 Cydome 研究人员发现了一种名为 Broadside 的新 Mirai 僵尸网络变种,该变种通过利用船舶上使用的 TBK DVR 设备中的命令注入漏洞 CVE-2024-3721 来针对海运物流部门。 “Cydome 的网络安全研究团队已确定 [...]
来源:Security Affairs _恶意软件Broadside 僵尸网络攻击 TBK DVR,为海运物流敲响警报
Cydome 警告称,基于 Mirai 的 Broadside 僵尸网络以易受攻击的 TBK Vision DVR 为目标,对海运物流行业构成潜在威胁。
Cydome 研究人员发现了一种名为 Broadside 的新 Mirai 僵尸网络变种,该变种通过利用船舶上使用的 TBK DVR 设备中的命令注入漏洞 CVE-2024-3721 来针对海运物流部门。
“Cydome 的网络安全研究团队已发现 Mirai 僵尸网络新变种的活跃活动,被指定为“Broadside”。”阅读 Cydome 发表的报告。 “该活动针对的是海运物流部门,利用了航运公司(以及其他)船上使用的 TBK DVR(数字录像机)设备中的漏洞 (CVE-2024-3721)。”
该漏洞于 2024 年 4 月披露,并提供 PoC 代码,到 2025 年中期已被多个 DDoS 僵尸网络广泛利用。
Mirai 僵尸网络的源代码在近十年前公开,此后被网络犯罪分子广泛重复使用和修改,以支持大规模僵尸网络。
Cydome 观察到,该活动的基础设施已被跟踪数月,显示出活动波动。 Broadside 与典型的 Mirai 的不同之处在于基于 TCP/1026 的自定义 C2 协议(在 TCP/6969 上进行后备通信)、独特的 Magic 标头以及“法官、陪审团和刽子手”专有模块。该僵尸程序使用 Netlink 内核套接字进行秘密监控和有效负载多态性来逃避检测。
Broadside 僵尸网络使用大量加载程序,在内存中执行多架构有效负载并擦除痕迹。与其他 Mirai 变体一样,它支持基于 UDP 的 DDoS 攻击,但是,除了 DDoS 之外,它还窃取 /etc/passwd 和 /etc/shadow,从而实现权限升级和横向移动。
Broadside 还包括一个进程杀手模块,通过终止可疑或敌对进程来保持控制。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon