HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）就Badbox 2.0僵尸网络发布安全警报后，敦促智能家居用户警惕联网设备中的入侵指标（IoCs）。 该执法机构在公共服务公告（PSA）中称，威胁行为者要么在用户购买前给设备预装恶意软件，要么通过设置过程中必须下载的含后门“必要应用”实施感染。受影响设备主要包括电视流媒体设备、数字投影仪、售后车辆信息娱乐系统、电子相框等产品。 公告补充道：“一旦这些受感染的物联网设备接入家庭网络，便可能沦为Badbox 2.0僵尸网络的一部分，成为已知用于恶意活动的住宅代理服务节点。” Badbox 2.0是原始Badbox僵尸网络在2024年遭打击后出现的第二代变种。与前代相同，它主要针对安卓系统产品。FBI指出：“Badbox 2.0僵尸网络由数百万受感染设备组成，其维护的众多代理服务后门被网络犯罪分子出售或免费提供，用于实施各类犯罪活动。” 公告特别警示用户需警惕两类设备：要求禁用Google Play Protect安全设置的设备，以及宣传具备“解锁”或“免费访问内容”功能的通用电视流媒体设备。同时建议用户避免使用非官方应用市场和陌生品牌产品，若发现无法解释的可疑网络流量应立即采取行动。 为降低网络风险，FBI建议家庭互联网用户采取以下措施： 监控家庭网络的互联网流量 检查所有接入家庭网络的物联网设备是否存在可疑活动 避免从宣传免费流媒体内容的非官方市场下载应用 保持所有操作系统、软件和固件更新，优先修补防火墙漏洞及暴露于互联网的系统中已知被利用的漏洞 据Human Security早前监测，2023年10月的原始Badbox活动中已发现74,000台安卓手机、平板和联网电视盒存在感染迹象。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全公司GreyNoise披露，新型僵尸网络“AyySSHush”已入侵全球超9000台华硕路由器，并同步针对思科、D-Link等品牌的SOHO设备。该活动最早于2025年3月中旬被发现，攻击手法呈现国家级黑客组织特征。 攻击者采用三重渗透策略： 暴力破解：尝试常见弱口令组合 身份验证绕过：利用老旧漏洞突破防线 漏洞利用：重点针对华硕RT-AC3100、RT-AC3200及RT-AX55型号设备，通过命令注入漏洞CVE-2023-39780植入SSH公钥 值得注意的是，攻击者通过官方功能添加密钥，使得配置更改在固件升级后仍保留。后门程序将SSH守护进程绑定至非常规端口53282，同时关闭系统日志与趋势科技AiProtection防护功能，实现隐蔽驻留。 法国安全公司Sekoia追踪的“Vicious Trap”活动与该僵尸网络存在技术重叠。攻击者除路由器外，还针对SSL VPN、DVR设备及基板管理控制器实施入侵。观察到恶意脚本通过重定向受控设备流量至第三方节点，但尚未发现DDoS攻击或流量代理行为，推测其正构建基础设施为后续攻击铺路。 华硕已发布受影响型号固件更新（具体发布时间因型号而异），建议用户： 立即升级至最新固件版本 检查路由器“authorized_keys”文件是否包含攻击者SSH密钥（IoC列表参见原文） 将关联IP地址（101.99.91[.]151等四组）加入防火墙黑名单 如遇可疑活动，执行恢复出厂设置并采用高强度密码重新配置 GreyNoise监测数据显示，过去三个月仅捕获30次恶意请求，但成功入侵设备达九千余台，显示攻击具备高度精准性。研究人员提醒，传统固件升级无法清除已植入的后门，彻底排查需结合日志审计与密钥验证。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全博客KrebsOnSecurity近期遭遇峰值达6.3太比特/秒（Tbps）的分布式拒绝服务（DDoS）攻击，创下Google防御系统处理流量的新纪录。该博客由美国知名安全调查记者Brian Krebs运营，受Google免费反DDoS服务Project Shield保护，尽管攻击仅持续45秒，未造成服务中断，但暴露出物联网僵尸网络Aisuru的恐怖威力。 此次攻击由自2024年活跃的Aisuru僵尸网络发起，该网络通过Telegram以每周数百美元价格提供DDoS租用服务。攻击流量包含每秒5.85亿个UDP数据包，随机轰击服务器端口。Google安全工程师Damian Menscher证实，这是Google有史以来拦截的最大规模攻击，但得益于Project Shield的即时响应，博客未出现可见服务降级。 Aisuru的独特之处在于其专注于劫持路由器、监控摄像头等物联网设备，且未与其他僵尸网络形成设备资源竞争，这使得其攻击火力更为集中。安全专家警告，该网络利用未知漏洞控制设备，潜在破坏力远超传统僵尸网络。 此次攻击规模仅次于Cloudflare在2025年4月记录的6.5Tbps历史峰值。数据显示，2025年第一季度Cloudflare已拦截超700次“超大规模”攻击（流量超1Tbps），这类攻击通常仅持续35-45秒，但足以瞬间瘫痪多数网络基础设施。 Brian Krebs通过线索追踪到僵尸网络运营者“Forky”，此人长期经营DDoS租用业务。但面对质询时，Forky否认参与此次攻击，并拒绝透露客户信息。安全社区担忧，此类服务的匿名性正使DDoS攻击日益成为商业打击与网络勒索的常规武器。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日警告称，一款名为HTTPBot的新型僵尸网络病毒正在中国境内活跃。该恶意软件主要针对游戏行业，同时也对科技公司及教育机构发起精准打击。绿盟科技在本周发布的报告中指出：“过去数月，该病毒通过持续感染设备扩大攻击规模，采用高度仿真的HTTP Flood攻击和动态特征混淆技术，成功绕过了传统基于规则的防护系统。” 这款于2024年8月首次现身的病毒因其使用HTTP协议发动分布式拒绝服务攻击而得名。值得注意的是，虽然采用Golang语言开发，但该病毒反常地将Windows系统作为主要攻击目标。作为一款基于Windows的僵尸网络木马，其最大特点是针对高价值业务接口（如游戏登录和支付系统）实施外科手术式打击。 “这种‘手术刀式’精准攻击对依赖实时交互的行业构成系统性威胁。”总部位于北京的绿盟科技强调，“HTTPBot标志着DDoS攻击已从‘无差别流量压制’转向‘高精度业务打击’的全新范式。”统计显示，自2025年4月以来，该病毒已发动至少200次攻击指令，主要打击目标为中国境内的游戏产业、科技企业、教育机构及旅游门户网站。 技术分析显示，该病毒运行时通过隐藏图形界面规避用户和安防工具的进程监控，并通过篡改Windows注册表实现开机自启。在连接C2服务器后，将根据指令对特定目标发起海量HTTP请求。其攻击模块包含七大武器库： 浏览器攻击模块（BrowserAttack）：通过隐藏Chrome实例模拟合法流量耗尽服务器资源 会话伪造模块（HttpAutoAttack）：基于Cookie技术精确复刻合法会话 负载增压模块（HttpFpDlAttack）：采用HTTP/2协议强制服务器返回大体积响应消耗CPU资源 WebSocket攻击模块（WebSocketAttack）：利用ws://和wss://协议建立长连接 POST强制攻击模块（PostAttack）：限定使用HTTP POST方式攻击 Cookie增强模块（CookieAttack）：在浏览器攻击基础上增加Cookie处理流程 “传统DDoS僵尸网络多活跃于Linux和物联网平台。”绿盟科技专家指出，“但HTTPBot家族却剑走偏锋，专门针对Windows平台。通过深度模拟协议层、模仿合法浏览器行为，该病毒成功突破依赖协议完整性的防御体系。其随机化URL路径和Cookie补充机制能持续占用服务器会话资源，而非单纯依赖流量压制。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰与美国执法部门联合行动，成功瓦解一个由数千台感染物联网（IoT）设备及报废（EoL）路由器组成的犯罪代理网络。该网络通过组建僵尸网络为恶意攻击者提供匿名服务，四名涉案人员——三名俄罗斯公民（37岁的Alexey Viktorovich Chertkov、41岁的Kirill Vladimirovich Morozov、36岁的Aleksandr Aleksandrovich Shishkin）与一名哈萨克斯坦公民（38岁的Dmitriy Rubtsov）已被美国司法部起诉，指控其运营并利用代理服务非法牟利。 据司法部披露，用户需按月支付订阅费（9.95至110美元/月），攻击者通过售卖受感染路由器的访问权限累计获利超4600万美元。该服务疑似自2004年即开始运作。美国联邦调查局（FBI）在俄克拉荷马州发现，大量家用与商用路由器遭黑客入侵并植入恶意软件，用户对此毫不知情。 网络安全公司Lumen Technologies Black Lotus Labs在报告中指出，该僵尸网络每周平均有1000台受控设备与位于土耳其的指挥控制（C2）服务器通信，其中半数以上受害者位于美国，加拿大与厄瓜多尔次之。此次行动代号“月球登陆者”（Operation Moonlander），已成功查封相关代理服务网站anyproxy.net与5socks.net。Lumen表示，这两个平台指向“同一僵尸网络，以不同品牌运营”。 互联网档案馆的网页快照显示，5socks.net曾宣称每日提供“超7000个在线代理节点”，覆盖美国各州及全球多国，攻击者可通过加密货币支付匿名实施广告欺诈、DDoS攻击、暴力破解等非法活动。Lumen称，受感染设备被植入名为“TheMoon”的恶意软件，该软件此前还支撑另一名为Faceless的犯罪代理服务。目前，该公司已对僵尸网络基础设施实施流量黑洞处理，阻断所有已知控制节点的通信。 FBI在公告中表示，攻击者利用报废路由器中的已知安全漏洞植入恶意软件，获取持久远程控制权限。TheMoon恶意软件无需密码即可感染路由器——通过扫描开放端口并向存在漏洞的脚本发送指令完成入侵。受感染设备随后连接C2服务器接收指令，包括扫描其他易受攻击的路由器以扩散感染。该恶意软件最早于2014年被SANS技术研究院发现，主要针对Linksys路由器。 安全专家指出，用户购买代理服务后仅需通过IP地址与端口组合即可连接，且服务激活后无需额外认证，极易被滥用。为降低风险，建议用户定期重启路由器、安装安全补丁、修改默认密码，并在设备报废后及时更换新型号。Lumen警告称，代理服务将继续威胁互联网安全，因其允许攻击者隐匿于住宅IP背后，而全球大量报废设备与物联网终端的普及将为恶意活动提供源源不断的攻击目标。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据 Xlab 调查，Vo1d 恶意软件僵尸网络的新变种已感染全球 226 个国家的 1,590,299 台 Android TV 设备，将其招募为匿名代理服务器网络的一部分。 Xlab 自去年 11 月以来一直在跟踪这场新的活动，并报告称该僵尸网络在 2025 年 1 月 14 日达到峰值，目前有 800,000 台活跃的僵尸设备。 2024 年 9 月，Dr.Web 杀毒研究人员发现，通过未知感染途径，Vo1d 恶意软件已在全球 200 个国家感染了 130 万台设备。 Xlab 的最新报告表明，Vo1d 僵尸网络的新版本继续在更大规模上运作，不受之前曝光的影响。 此外，研究人员强调，该僵尸网络已进化出高级加密（RSA + 自定义 XXTEA）、具有弹性的 DGA（域名生成算法）驱动的基础设施，以及增强的隐蔽能力。 Vo1d 僵尸网络的规模令人瞩目，使用的 32 个 DGA 种子可生成超过 21,000 个 C2（命令与控制）域名。C2 通信受到 2048 位 RSA 密钥的保护，即使研究人员识别并注册了 C2 域名，也无法向僵尸设备发出命令。 截至 2025 年 2 月，近 25% 的感染设备位于巴西，其次是南非（13.6%）、印度尼西亚（10.5%）、阿根廷（5.3%）、泰国（3.4%）和中国（3.1%）。 研究人员报告称，该僵尸网络出现了显著的感染激增情况，例如在印度，感染设备数量在短短三天内从 3,900 台激增至 217,000 台。 最大的波动表明，僵尸网络运营商可能在“出租”特定区域的设备作为代理服务器，这些服务器通常用于进行进一步的非法活动或自动化攻击。 “我们推测，‘快速激增后急剧下降’的现象可能是由于 Vo1d 将其僵尸网络基础设施出租给其他团体。以下是这种‘出租-归还’周期的工作原理： 出租阶段：在出租开始时，僵尸设备从主 Vo1d 网络转移到承租人的操作中。这种转移导致 Vo1d 的感染数量突然下降，因为僵尸设备暂时从其活跃池中移除。 归还阶段：一旦出租期结束，僵尸设备重新加入 Vo1d 网络。这种重新整合导致感染数量迅速激增，因为僵尸设备在 Vo1d 的控制下再次变得活跃。 这种‘出租和归还’的循环机制可以解释 Vo1d 在特定时间点的规模波动。” Vo1d 僵尸网络是一个多用途的网络犯罪工具，将受感染设备变成代理服务器，以促进非法活动。 受感染设备为网络犯罪分子中转恶意流量，隐藏其活动来源，并融入住宅网络流量中。这还帮助威胁行为者绕过区域限制、安全过滤和其他保护措施。 Vo1d 的另一个功能是广告欺诈，通过模拟广告点击或视频平台上的观看行为来为欺诈广告商生成收入。 该恶意软件具有特定的插件，可自动化广告互动并模拟类似人类的浏览行为，以及 Mzmess SDK，该 SDK 将欺诈任务分配给不同的僵尸设备。 由于感染链仍未知，建议 Android TV 用户采取全面的安全措施来应对 Vo1d 威胁。 首先，从信誉良好的供应商和可信的经销商处购买设备，以尽量减少从工厂或运输途中预装恶意软件的可能性。 其次，安装固件和安全更新至关重要，这些更新可以关闭可能被利用进行远程感染的漏洞。 第三，用户应避免下载 Google Play 以外的第三方应用程序或承诺扩展和“解锁”功能的第三方固件镜像。 如果不需要远程访问功能，应禁用 Android TV 设备的远程访问功能，而在不使用时将其断网也是一种有效的策略。 最终，物联网设备应在网络层面与存储敏感数据的贵重设备隔离。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球约有13,000台MikroTik路由器被劫持，组成了一个僵尸网络，用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。 “该活动利用了配置错误的DNS记录，从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出，“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件，这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”，其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵，诱使收件人打开一个ZIP文件，从而触发恶意软件。 ZIP文件中包含一个经过混淆的JavaScript文件，该文件会进一步运行一个PowerShell脚本，从而与位于IP地址62.133.60[.]137的命令与控制（C2）服务器建立连接。尽管入侵路由器的具体方式尚不明确，但多个固件版本受到了影响，其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞，可能被攻击者利用以执行任意代码。 “无论这些设备是如何被入侵的，攻击者似乎都在MikroTik设备上植入了一个脚本，启用SOCKS（安全套接字）功能，使设备能够作为TCP转发器运行。”Brunsdon解释道，“启用SOCKS后，每台设备实际上变成了一个代理服务器，从而掩盖了恶意流量的真实来源，使其更难被追踪。” 更令人担忧的是，这些代理的使用无需身份验证，这意味着其他威胁行为者可以利用这些设备或整个僵尸网络，将其用于各种恶意活动，包括分布式拒绝服务（DDoS）攻击和网络钓鱼活动。 此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架（SPF）TXT记录配置错误。攻击者通过这些配置错误，能够以这些域名的名义发送邮件，并绕过各种电子邮件安全防护机制。具体而言，这些SPF记录被配置为极其宽松的“+all”选项，这使得原本用于安全防护的机制形同虚设。这也意味着任何设备（如被劫持的MikroTik路由器）都可以在电子邮件中伪装成合法域名。 建议MikroTik设备所有者保持路由器固件的最新状态，并更改默认账户凭证，以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持，该僵尸网络能够发起广泛的恶意活动，从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出，“SOCKS4代理的使用进一步增加了检测和缓解的难度，凸显了采取强有力安全措施的必要性。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新型大规模攻击活动正在利用AVTECH IP摄像头和华为HG532路由器的安全漏洞，将这些设备纳入一个名为Murdoc Botnet的Mirai僵尸网络变种。Qualys安全研究员Shilpesh Trivedi在分析中指出：“此次持续的攻击活动展现了增强的能力，通过利用漏洞来入侵设备并建立广泛的僵尸网络。”该活动自2024年7月开始，至今已感染超过1,370个系统。大多数感染事件发生在马来西亚、墨西哥、泰国、印尼和越南。 证据表明，该僵尸网络利用已知的安全漏洞（如CVE-2017-17215和CVE-2024-7029）来获取对物联网（IoT）设备的初始访问权限，并通过shell脚本下载下一阶段的恶意负载。该脚本会根据设备的CPU架构，获取并执行僵尸网络恶意软件。这些攻击的最终目标是利用僵尸网络发动分布式拒绝服务（DDoS）攻击。 几周前，一个名为“gayfemboy”的Mirai僵尸网络变种被发现，自2024年11月初以来，它一直在利用最近披露的Four-Faith工业路由器的安全漏洞。2024年年中，Akamai还透露，CVE-2024-7029被恶意行为者利用，将AVTECH设备纳入僵尸网络。 上周，有关另一场大规模DDoS攻击活动的细节浮出水面，该活动自2024年底以来一直针对日本的主要公司和银行，通过利用漏洞和弱凭据来组建一个物联网僵尸网络。 此次DDoS攻击活动主要针对电信、技术、托管、云计算、银行、游戏和金融服务行业。超过55%的受感染设备位于印度，其次是南非、巴西、孟加拉国和肯尼亚。 Trend Micro表示：“该僵尸网络包含源自Mirai和BASHLITE的恶意软件变种。其命令包括可以采用多种DDoS攻击方法、更新恶意软件以及启用代理服务的指令。”这些攻击涉及入侵物联网设备，部署一个加载器恶意软件，该恶意软件会获取实际负载，然后连接到命令与控制（C2）服务器，等待进一步的DDoS攻击和其他用途的指令。为了防范此类攻击，建议监控由任何不受信任的二进制文件/脚本执行所产生的可疑进程、事件和网络流量。同时，建议应用固件更新并更改默认用户名和密码。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 自10月起，一个基于Mirai的新型僵尸网络开始活跃利用DigiEver DS-2105 Pro NVR设备中的一个未打补丁的远程代码执行漏洞。该漏洞尚未获得正式的跟踪编号。 该僵尸网络的攻击目标不仅限于DigiEver设备，还包括多个网络视频录制机（NVR）和固件版本过时的TP-Link路由器。 TXOne研究员Ta-Lun Yen去年在罗马尼亚布加勒斯特的DefCamp安全会议上曾展示过一个影响多个DVR设备的类似漏洞。Akamai的研究员发现，尽管该僵尸网络自11月中旬才开始大规模利用这一漏洞，但相关活动迹象至少可以追溯到9月。 此外，这个新型的Mirai恶意软件变种还针对TP-Link设备上的CVE-2023-1389漏洞和Teltonika RUT9XX路由器上的CVE-2018-17532漏洞发起了攻击。 攻击DigiEver NVR 被利用来攻破DigiEver NVR的漏洞是一个远程代码执行（RCE）漏洞，攻击者通过利用’/cgi-bin/cgi_main.cgi’ URI中的不正确用户输入验证来发动攻击。 这使得远程未认证的攻击者能够通过特定参数（如HTTP POST请求中的ntp字段）注入命令，如’curl’和’chmod’。 Akamai表示，该Mirai僵尸网络的攻击与Ta-Lun Yen演示中描述的攻击非常相似。 通过命令注入，攻击者从外部服务器获取恶意软件二进制文件，并将设备纳入其僵尸网络。通过添加定时任务（cron jobs），攻击者实现了持久化。 一旦设备被攻陷，它将被用于发起分布式拒绝服务（DDoS）攻击，或通过利用漏洞集和凭证列表传播到其他设备。 Akamai指出，这个新的Mirai变种在技术上具有显著特点，它运用了XOR和ChaCha20加密技术，并且能够针对x86、ARM和MIPS等多种系统架构发起攻击。 Akamai评论道：“尽管采用复杂的解密手段并非首次出现，但这无疑表明Mirai僵尸网络的运营者正在持续更新其战术、技术和程序。” 研究人员进一步强调：“这一现象尤为值得关注，因为许多基于Mirai的僵尸网络至今仍依赖从原始Mirai恶意软件源代码中沿用的字符串混淆逻辑。” 此外，该僵尸网络还利用了另外两个已知漏洞：CVE-2018-17532（影响Teltonika RUT9XX路由器）和CVE-2023-1389（影响TP-Link设备）。 Akamai报告的末尾提供了与该活动相关的攻击指示符（IoC）以及用于检测和防御该威胁的Yara规则，以帮助企业和安全团队有效应对这一新型Mirai变种带来的挑战。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文