近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现Morte僵尸网络持续活跃,其主要攻击目标为SOHO路由器、物联网(IoT)设备及Oracle WebLogic、WordPress、vBulletin等企业应用,可能导致数据泄露、系统受控、业务中断等风险。
Morte僵尸网络是一种依赖“加载器即服务(LaaS)”模式运作的网络安全威胁,已活跃至少6个月。该僵尸网络主要通过三种方式入侵目标:一是Web界面命令注入,攻击者滥用ntp、syslog、hostname等未过滤的POST参数,执行wget/curl | sh等恶意shell命令;二是暴力破解或凭证喷洒设备默认凭证(如admin:admin);三是利用已知漏洞,包括CVE-2019-16759(vBulletin预认证RCE)、CVE-2019-17574(WordPress Popup Maker插件漏洞)等。入侵目标系统后,攻击者首先释放小型shell脚本作为dropper(投放器,一种轻量隐蔽的恶意脚本或程序,作为初始跳板秘密部署后续恶意载荷),随后安装跨架构原生二进制文件(如morte.x86、morte.x86_64),借助BusyBox工具实现多平台的兼容性,同时利用计划任务、进程注入等技术实现对目标系统的长久控制,最终部署加密货币挖矿模块(如基于JSON-RPC协议的eth_getWork),劫持设备CPU/GPU资源进行加密货币挖矿。此外,Morte支持HTTP C2轮询,在数十个IP间轮换基础设施以逃避追踪,攻击者可借此执行DDoS攻击、数据窃取、转售被攻陷设备访问权至黑市或进一步横向渗透扩大威胁。
建议相关单位和用户立即组织排查,修复相关设备及应用的安全漏洞,禁用默认登录凭证,关闭不必要的路由器诊断页面,更新防病毒软件,实施全盘病毒查杀,并可通过定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
