HackerNews 编译，转载请注明出处： 俄罗斯港口运营商 “港口联盟”（Port Alliance）表示，其数字基础设施关键部分遭遇 “境外” 网络攻击，运营中断已进入第三天。这是俄乌冲突背景下，影响关键设施的一系列网络安全事件中的最新一起。 该公司在周四的声明中称，攻击者发起了分布式拒绝服务（DDoS）攻击，并试图入侵其网络。港口联盟指出，攻击目标是破坏该公司通过波罗的海、亚速 – 黑海、远东及北极地区海港开展的煤炭和矿物肥料出口相关业务，扰乱运营秩序。 尽管此次攻击规模大、强度高，但公司表示旗下码头及相关设施仍正常运转。“所有关键系统保持可用，港口和码头的业务流程未受影响。” 据港口联盟透露，黑客动用了包含 1.5 万多个全球唯一 IP 地址的僵尸网络，其中部分 IP 来自俄罗斯境内，且不断更换攻击策略以规避安全防御。 港口联盟在多条关键运输线路运营着 6 个海运码头，煤炭和矿物肥料的年货运量超 5000 万吨。目前该公司未指明攻击来自特定黑客组织。 自 2022 年俄罗斯对乌克兰发起特别军事行动以来，针对交通物流网络的网络攻击愈发频繁。俄乌双方黑客频繁使用 DDoS 攻击，扰乱对方基础设施。 同日，乌克兰 WOG 加油站连锁企业报告遭遇大规模网络攻击，其在线服务暂时中断，当晚恢复正常，但未披露更多细节。 盟国也面临数字威胁。本周早些时候，丹麦政府及多家国防企业的网站遭 DDoS 攻击短暂下线，丹麦当局称攻击可能源自俄罗斯。亲俄组织 “NoName057” 声称对此次攻击负责，但其说法的真实性难以核实。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 基于Mirai的新型物联网僵尸网络”Aisuru”近日发起多次超20Tb/秒和/或4gpps的高强度DDoS攻击。网络安全公司Netscout报告显示，2025年10月，该僵尸网络主要针对在线游戏领域发动了超过20Tb/秒的大规模攻击。 该僵尸网络利用住宅代理反射HTTPS DDoS攻击，其节点主要为消费级路由器、监控摄像设备/录像机及其他存在漏洞的客户终端设备。攻击者持续寻找新的漏洞利用以扩张僵尸网络规模。 作为DDoS租赁服务，Aisuru虽避开政府和军事目标，但宽带运营商仍因感染设备发起的超1.5Tb/秒攻击而遭受严重干扰。Netscout报告指出：”Aisuru及相关TurboMirai级物联网僵尸网络发起的DDoS攻击主要与在线游戏活动相关，峰值超过20Tb/秒和4gpps。术语’TurboMirai’特指此类能够发起数Tb/秒和数gpps直连式DDoS攻击的Mirai变种僵尸网络。” 与其他TurboMirai僵尸网络类似，Aisuru具备额外的专用DDoS攻击能力及多功能特性，支持攻击者实施撞库攻击、AI驱动的网络爬取、垃圾邮件和网络钓鱼等非法活动。 攻击采用中型数据包和随机端口/标志的UDP、TCP及GRE洪泛攻击。超过1Tb/秒的受感染终端设备流量会干扰宽带服务，而4gpps以上的洪泛攻击已导致路由器线路板卡故障。 报告补充说明：”监测到既有高带宽（大数据包、高bps）也有高吞吐量（小数据包、高pps）的DDoS攻击。UDP和TCP直连洪泛攻击默认使用540-750字节的中型数据包以平衡bps和pps。4gpps及以上强度的小数据包/高pps攻击已导致机架式路由器和三层交换机的线路板卡过载，造成设备脱离机箱背板连接并中断无关流量。部分案例中，用于保护网络基础设施的最佳现行实践方案可能未得到完整实施。出向和横向DDoS攻击的破坏性常与入向攻击相当。” Netscout强调，Aisuru及TurboMirai级物联网僵尸网络主要发起单向量直连DDoS攻击，偶尔与其他DDoS租赁服务联合发起多向量攻击。攻击形式包括中大型或小型数据包的UDP洪泛、大小数据包的TCP洪泛以及多达119种TCP标志组合。部分流量模拟合法HTTP数据包，而HTTPS攻击则利用内置住宅代理。研究人员指出，由于多数网络缺乏特权访问和源地址验证，该僵尸网络流量未经过伪装。 报告进一步说明：”这些僵尸网络无法生成伪装的DDoS攻击流量，使得可通过回溯追踪与用户信息关联，从而识别、隔离和修复受感染设备。” 网络运营商应监控所有边缘网络、用户网络、对等网络及大型终端网络的出入向DDoS流量。检测、分类和回溯系统应保持活跃并集成至防御测试体系。识别受感染设备后需及时修复，但C2中断可能导致重复感染。缓解措施需采用智能系统进行定向压制，并结合Flowspec或S/RTBH等基础设施级方法，同时注意避免过度阻断关键流量。 Netscout总结道：”全面防御需要在所有网络边缘部署与入向缓解同等优先级的出向/横向压制系统。智能DDoS缓解系统、基础设施访问控制列表等网络基础设施最佳现行实践，以及可滥用客户终端设备的主动修复都至关重要。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cloudflare成功拦截了峰值达11.5 Tbps的创纪录DDoS攻击，这是一场主要源自谷歌云的UDP洪水攻击，也是持续数周的攻击浪潮的一部分。 Cloudflare在X平台上宣布，其已拦截了有史以来最大规模的DDoS攻击，峰值达到11.5 Tbps。这场主要来自谷歌云的UDP洪水攻击，是持续数周攻击浪潮的一部分。 Cloudflare表示，其在数周内已拦截了数百次大规模DDoS攻击，此次破纪录的UDP洪水攻击持续了约35秒。 “Cloudflare的防御系统一直超负荷运转。过去几周，我们的系统自动拦截了数百起超大规模DDoS攻击，其中最大攻击的峰值达到每秒51亿个数据包（5.1 Bpps）和11.5 Tbps。这场11.5 Tbps的攻击是一场主要源自谷歌云的UDP洪水攻击。” 今年6月，Cloudflare曾宣布在2025年第二季度自动拦截了已报告的最大规模DDoS攻击，峰值达到7.3 Tbps和每秒48亿个数据包（4.8 Bpps）。 该攻击规模比其之前的峰值高出12%，比知名网络安全记者布莱恩·克雷布斯（Brian Krebs）所报告的攻击峰值高出1 Tbps。 这场7.3 Tbps的DDoS攻击在短短45秒内喷射了37.4 TB的数据流量，相当于在一分钟内流畅播放9350部高清电影或下载935万首歌曲。其数据量相当于连续播放近一年的高清视频，或者压缩了4000年每日高清照片的数据总量，所有这些都塞进了不到一分钟的时间里。 Cloudflare发布的报告中写道：“37.4TB在当今的数据规模中并不惊人，但在45秒内喷射如此巨量数据堪称恐怖。” “这相当于在45秒内，向你的网络倾泻超过9350部全长高清电影的数据量，或者连续播放7480小时的高清视频（这几乎是接连不停 binge-watch 近一年的量）。” 此次攻击针对单个IP地址，平均每秒冲击21,925个端口，峰值时达到34,517个端口，源端口分布同样广泛。 这场7.3 Tbps的DDoS攻击采用多向量组合模式，其中99.996%为UDP洪水攻击，其余包括QOTD、Echo、NTP、Mirai、Portmap以及RIPv1攻击。       消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员在支撑现代互联网的核心协议HTTP/2中发现新型高危漏洞。攻击者可通过控制僵尸网络发送无限量请求耗尽服务器资源，发动前所未有的DDoS攻击。 黑客获得了一种轻松瘫痪网络服务器的新手段。特拉维夫大学安全团队发现重大协议缺陷，允许攻击者用无限请求淹没服务器，最终导致服务崩溃。该漏洞被命名为“MadeYouReset”，因其基于2023年发现的“Rapid Reset”漏洞——后者曾引发史上最大规模DDoS攻击。 据发现者、特拉维夫大学计算机科学硕士生盖尔·巴尔·纳胡姆称，新漏洞能绕过常规防护机制。该高危漏洞编号为CVE-2025-8671，严重性评级达7.5（满分10分）。漏洞描述指出：“攻击者通过建立数据流后立即发送畸形帧或触发流量控制错误，诱使服务器主动重置流。尽管后端仍在处理请求，协议层却判定流已关闭。这使得单个连接上可存在无限并发流，最终耗尽服务器资源。” 漏洞利用原理：HTTP/2协议内置的并发保护机制（MAX_CONCURRENT_STREAMS参数）通常限制单客户端开启100个流。但协议同时提供请求取消功能（RST_STREAM帧），被取消的请求不计入限额。攻击者曾利用“Rapid Reset”漏洞通过快速取消请求实施DDoS攻击。 纳胡姆解释：“理论上，取消流应指令服务器停止处理请求。但现实中，多数服务器实现方案仅在响应计算完成后终止发送，未能及时释放资源。”此前缓解措施通过限制客户端RST_STREAM帧发送数量来防御。 （较旧的RapidReset攻击。图片由Gal Bar Nahum提供。） “MadeYouReset”漏洞创新性地迫使服务器代劳取消操作：攻击者发送非法控制帧或精准违反协议时序，诱使服务器主动发送RST_STREAM帧。“我们能让服务器为已接收的合法请求发送重置帧。根据RFC规范，存在六类可触发此行为的操作原语，因此所有合规实现均受影响。”纳胡姆表示。这意味着攻击者无需发送RST_STREAM帧即可突破限制，在后台持续处理旧请求时开启新请求。 （新的MadeYouReset漏洞。图片由Gal Bar Nahum提供。） 多数受影响服务器面临双重资源耗尽风险。研究人员指出：“高性能服务器或可抵御小规模攻击，但由于请求发送与响应计算存在资源消耗不对称性，加之攻击者可轻易创建无限请求，绝大多数服务器将遭遇完全拒绝服务，其中大量还会触发内存崩溃。” 修复进展：目前多数HTTP/2服务器仍存在风险，Netty、Jetty和Apache Tomcat等主流系统均受影响。研究人员已提前向监管机构和供应商披露漏洞，多家厂商正发布补丁： SUSE为企业级Linux发行版更新多个上游项目修复方案 网页加速器Varnish Cache为5.x至7.7.1版本提供安全更新，建议无法升级者暂时禁用HTTP/2 CDN服务商Fastly于6月2日前完成全网修复，客户无需操作 Java网络框架Netty发布专版4.2.4.Final解决该漏洞 Apache Tomcat两周前通过代码提交修复，但红帽公司警告称尚无符合其稳定性标准的缓解方案       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新型攻击技术可操控全球数千台公共域控制器（DC）组建恶意僵尸网络，用于发动高威力分布式拒绝服务（DDoS）攻击。该技术被SafeBreach研究人员奥尔·亚伊尔（Or Yair）和沙哈克·莫拉格（Shahak Morag）命名为Win-DDoS，并于今日在DEF CON 33安全大会上公布研究成果。 亚伊尔和莫拉格在报告中指出：“分析Windows轻量级目录访问协议（LDAP）客户端代码时，我们发现其转介流程存在重大缺陷。攻击者可操纵该流程，诱导域控制器向目标服务器发送海量请求致其瘫痪。”他们进一步解释：“由此开发的Win-DDoS技术，能让黑客无需任何成本且不留痕迹地操控全球数万台公共域控制器，组建具备巨大算力和带宽的恶意僵尸网络。” 攻击核心机制 该技术无需代码执行或凭证即可将域控制器转化为DDoS武器，使Windows平台同时成为受害者和攻击载体。攻击流程分为四步： 攻击者向域控制器发送RPC调用，触发其成为CLDAP客户端； 域控制器向攻击者的CLDAP服务器发送请求，服务器返回转介响应，指示域控制器切换至TCP协议连接攻击者的LDAP服务器； 域控制器通过TCP向攻击者的LDAP服务器发送查询； 攻击者的LDAP服务器返回包含超长转介URL列表的响应，所有URL均指向目标服务器的同一IP和端口。 研究人员说明：“当TCP连接因目标服务器过载而中断后，域控制器会继续访问列表中指向同一服务器的下一个URL。此过程循环直至遍历完整个列表，形成创新的Win-DDoS攻击链。” 技术优势与危害 Win-DDoS的核心威胁在于其具备高带宽攻击能力，且攻击者无需购买专用基础设施或入侵设备，可完美隐藏行踪。深入分析LDAP客户端转介流程还发现： 利用转介列表长度无限制及堆内存未释放的设计缺陷，发送超长列表可导致LSASS服务崩溃、系统重启或触发蓝屏死机（BSoD）； 处理客户端请求的传输无关代码中存在三个新型零点击、无需认证的拒绝服务（DoS）漏洞，可瘫痪域控制器； 另有一个漏洞允许域内任何认证用户崩溃域控制器或Windows主机。 相关漏洞清单 研究披露的四项漏洞均属“不受控资源消耗”类型： CVE-2025-26673（CVSS 7.5）：Windows LDAP服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年5月修复） CVE-2025-32724（CVSS 7.5）：Windows LSASS服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年6月修复） CVE-2025-49716（CVSS 7.5）：Windows Netlogon服务漏洞，未授权攻击者可实施网络级拒绝服务（2025年7月修复） CVE-2025-49722（CVSS 5.7）：Windows打印后台程序漏洞，相邻网络认证攻击者可实施拒绝服务（2025年7月修复） 打破安全假设 这些发现与今年1月披露的LdapNightmare漏洞（CVE-2024-49113）共同揭示：Windows系统存在可瘫痪企业运营的盲点。研究人员强调：“这些漏洞均为零点击、无需认证型，攻击者能远程崩溃公开暴露的系统。即使仅获得内部网络最低权限，也能对私有基础设施造成同等破坏。”他们总结：“研究颠覆了企业威胁建模的两大常见假设：拒绝服务风险仅影响公共服务；内部系统在完全失陷前不会被滥用。这对企业韧性建设、风险模型和防御策略具有重大意义。”       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 由欧洲刑警组织和欧洲司法组织协调的一项国际行动，打击了名为 “NoName057(16)” 的亲俄网络犯罪团伙。这项名为 “Eastwood” 的行动，捣毁了由全球 100 多个计算机系统组成的攻击基础设施，该团伙的主要服务器基础设施也被下线。 行动于 2025 年 7 月 14 日至 17 日期间开展。此次行动的成果还包括在法国和西班牙实施逮捕，签发 7 份逮捕令，进行 24 次住宅搜查，讯问 13 人。另有 5 人被列入欧盟 “头号通缉犯” 名单。 其中两名居住在俄罗斯联邦的人员被指控为 “NoName057(16)” 活动的主要煽动者。德国当局已对这两人及另外四人签发逮捕令。 行动期间，欧洲刑警组织在其总部设立了协调中心，有法国、德国、西班牙、荷兰和欧洲司法组织的代表参与，并启用虚拟指挥站，将其他参与国与协调中心相连。 欧洲司法组织则协助有关部门协调司法活动，并在行动日期间规划各自的措施。 “NoName057(16)” 的参与者主要是讲俄语的支持者，他们使用自动化工具实施分布式拒绝服务（DDoS）攻击。 欧洲刑警组织称，该团伙没有正式的领导架构，技术水平也不高，其行动动机源于意识形态和报酬。该团伙与多起 DDoS 攻击有关联，还构建了自己的僵尸网络，由数百台服务器组成，能够增强攻击强度。 欧洲刑警组织表示，该团伙估计有 4000 名支持者，这些人通过亲俄渠道、论坛以及社交媒体和即时通讯应用上的小众聊天群组招募而来。 该团伙还通过这些渠道分享行动信息、教程和最新动态。像 “DDoSia” 这样的平台被用来简化技术流程并提供指导，让新成员能快速投入行动。 “NoName057(16)” 的攻击者以加密货币获取报酬，志愿者还会收到类似游戏的参与通知，比如排行榜、定期点名和徽章等。 欧洲刑警组织称，这种游戏化的操控手段常针对年轻违法者，其背后的叙事 —— 如保卫俄罗斯或报复政治事件 —— 进一步强化了这种情感驱动。 该网络犯罪团伙最初主要以乌克兰为攻击目标。但欧洲刑警组织指出，他们后来也开始攻击那些在俄乌冲突中支持乌克兰的国家。 2023 年至 2024 年，该犯罪团伙参与了对瑞典当局和银行网站的攻击。 自 2023 年 11 月欧洲刑警组织启动调查以来，德国遭遇了 14 波攻击，波及 250 多家企业和机构。 2023 年 6 月，乌克兰向瑞士联合议会发表视频讲话期间，以及 2024 年 6 月在比尔根山举行乌克兰和平峰会期间，瑞士都遭到了多起来自该团伙的攻击。 荷兰当局也证实，2025 年 6 月在荷兰举行的北约峰会期间，发生了一起与该网络有关的攻击。这些攻击均被成功化解，未造成重大中断。 2025 年 7 月的这次行动，有捷克、法国、德国、意大利、立陶宛、波兰、西班牙、瑞典、瑞士、荷兰和美国的执法及司法部门参与。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络基础设施服务商Cloudflare近日拦截了一次峰值达7.3Tbps的分布式拒绝服务（DDoS）攻击，再度刷新历史纪录。此前Cloudflare拦截的最高纪录为5.6Tbps和6.5Tbps攻击，而网络安全博主布莱恩·克雷布斯（Brian Krebs）上月报告其网站曾遭遇6.3Tbps攻击。 此次发生于5月中旬的7.3Tbps攻击仅持续45秒，目标直指某托管服务提供商。“托管服务商与关键互联网基础设施正日益成为DDoS攻击的主要目标”，Cloudflare在周四的博客中指出。此次攻击在45秒内产生37.4TB流量，相当于传输9000多部高清电影的数据总量。 攻击聚焦单一IP地址，平均每秒冲击21,925个目标端口，峰值时达34,517个端口，且源端口分布呈现类似特征。本次攻击中99%以上为UDP洪水攻击，其余1.3GB流量包含六种复合攻击：QOTD反射攻击、Echo反射攻击、NTP反射攻击、Mirai僵尸网络发起的UDP洪水攻击、Portmap洪水攻击以及RIPv1放大攻击。攻击源覆盖161个国家/地区的5,400个自治系统中的122,000余个IP地址。     消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 金融服务信息共享与分析中心（FS-ISAC）最新报告指出，金融业长期遭受大规模分布式拒绝服务（DDoS）攻击，但2024年攻击复杂度的显著升级标志着威胁态势发生根本性转变。 该中心联合安全企业Akamai于6月10日发布的报告显示，2014至2024年间金融业DDoS攻击量呈近指数级增长——从2014年每月零星攻击，发展到2024年10月单月峰值近350起，每起攻击包含数百万至数十亿次恶意请求。 报告《从滋扰到战略威胁：针对金融业的DDoS攻击》证实，继2023年成为DDoS攻击首要目标后，金融业在2024年仍维持这一地位。2024年4月起，针对金融业的攻击增速远超游戏、制造及高科技等行业，差距持续扩大。这种主导地位部分源于2023至2024年针对金融服务的应用层DDoS攻击增长23%。Akamai监测数据显示，此类攻击主要针对Web应用用户界面（如登录页）及API功能（如支付网关）。 报告强调，攻击规模扩大本身不足以构成质变，基础型DDoS攻击仍属可被轻易缓解的“滋扰”范畴。真正促使DDoS升级为“战略威胁”的关键，是2024年四季度以来攻击复杂度与规模的同步跃升。研究人员指出：“威胁行为体越来越多采用融合系统性探测与自适应策略的高级多向量DDoS攻击，展现出实时分析防御机制并动态调整战术的能力。” 观测到的高级技术包括： 通过低流量多向量测试探测防御弱点； 持续数周至数月的多阶段攻击； 绕过自动化防护并瘫痪本地网络设备（如防火墙、负载均衡器）。 这些技术表明攻击者具备高度组织性、资源投入和明确战略意图。 地缘政治紧张局势成为攻击升级的重要推手。亲巴勒斯坦黑客组织BlackMeta（又名DarkMeta）、RipperSec以及俄乌冲突中活跃的NoName057(16)被指为主要攻击方。典型案例是2024年10月针对澳大利亚金融机构的DDoS行动，该行动由RipperSec部分认领，恰逢北约防长会议、澳洲宣布援乌及乌克兰总统访欧等敏感时间点。 为应对高级DDoS威胁，报告建议金融机构采取以下措施： 实施地理IP过滤阻断非业务区域流量； 运用动态流量整形技术实时优先保障核心服务； 建立多层级防御架构降低单点依赖；预设净化支持机制快速响应异常流量； 部署默认拒绝（deny-all）的网络安全策略； 将威胁情报直接嵌入边缘防护系统； 定期开展攻防演练测试应急预案。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯多个关键政府服务系统于本周二遭遇大规模分布式拒绝服务（DDoS）攻击，导致服务中断。据监测平台Downdetector数据显示，联邦税务局（FNS）、数字密钥管理系统（Goskey）及电子文档平台（Saby）等均受影响。Saby与FNS已确认攻击源自境外，正全力修复系统。 企业用户报告称，酒类销售管控平台与商品防伪追踪系统无法访问。此次事件距离上周大规模服务中断仅数日——彼时俄罗斯银行应用、社交平台VKontakte、即时通讯工具、Yandex服务及移动网络集体瘫痪。圣彼得堡电信运营商Severen-Telecom曾报告服务器遭DDoS攻击，但俄通信监管局（Roskomnadzor）未透露故障原因。 上周，某私立医院系统遭持续多日的网络攻击，导致患者病历管理软件瘫痪。亲乌克兰黑客组织4B1D宣称对此负责，但院方未披露细节。本周二，莫斯科卫生部门通报医疗记录系统“临时故障”，但拒绝归因于网络攻击。 俄乌网络战中，攻击常与重大政治事件同步。此次中断恰逢美国前总统特朗普与俄总统普京进行两小时通话，讨论乌克兰停火协议。尽管攻击方尚未认领责任，但历史数据显示，乌克兰IT Army等组织曾对类似目标实施攻击。网络安全专家指出，攻击是否刻意选择政治敏感时点仍有待调查。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近期，恶意软件僵尸网络“Ficora”与“Capsaicin”正利用已停产或运行过时固件版本的D-Link路由器发起攻击。这些目标涵盖了多款常见的D-Link型号，例如DIR-645、DIR-806、GO-RT-AC750以及DIR-845L。 在初始攻击阶段，攻击者利用了几个已知的漏洞，包括CVE-2015-2051、CVE-2019-10891、CVE-2022-37056和CVE-2024-33112。一旦设备沦陷，攻击者会通过D-Link管理界面（HNAP）的GetDeviceSettings操作执行恶意命令。 这两个僵尸网络不仅具备数据窃取能力，还能执行shell脚本。它们的主要用途是进行分布式拒绝服务（DDoS）攻击。 关于Ficora僵尸网络 Ficora是Mirai的一个变种，专门设计用于利用D-Link设备的漏洞。 根据Fortinet的遥测数据，Ficora的攻击活动在10月和11月出现了两次显著的峰值。该僵尸网络的感染范围广泛，但特别关注日本和美国。一旦感染，Ficora会通过名为“multi”的shell脚本下载并执行有效载荷，利用wget、curl、ftpget和tftp等多种方法。 此外，Ficora内置了暴力破解功能，并包含硬编码的凭证，使其能够感染其他基于Linux的设备，且支持多种硬件架构。 在DDoS攻击方面，Ficora具备UDP泛洪、TCP泛洪和DNS放大功能，从而增强了其攻击效果。 关于Capsaicin僵尸网络 Capsaicin是Kaiten僵尸网络的一个变种，据推测由Keksec组织开发，该组织因“EnemyBot”等针对Linux设备的恶意软件而闻名。 Capsaicin的攻击活动主要集中在10月21日至22日，目标多为东亚国家。在感染过程中，Capsaicin使用名为“bins.sh”的下载器脚本获取以“yakuza”为前缀的二进制文件，这些文件支持arm、mips、sparc和x86等多种架构。 此外，该恶意软件还会主动查找并禁用同一主机上运行的其他僵尸网络有效载荷。 除了与Ficora类似的DDoS功能外，Capsaicin还能收集主机信息并将其传输到指挥与控制（C2）服务器进行追踪。 为了防御这些僵尸网络恶意软件的攻击，建议采取以下措施： 确保路由器和物联网设备运行最新的固件版本，以修复已知的漏洞。 如果设备已停产且不再接收安全更新，建议更换为新型号的设备。 更改默认的管理员凭证为独特且强大的密码，以增加攻击者的破解难度。 关闭不必要的远程访问接口，以降低被攻击的风险。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文