吳明宜一隻名為Condi的殭屍網路病毒正瞄準TP-Link Archer AX21 (AX1800) Wi-Fi路由器而來,欲將用戶裝置加入分散式阻斷服務(DDoS)網路的一員。
一隻名為 Condi 的殭屍網路病毒正瞄準 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器而來,欲將用戶裝置加入分散式阻斷服務 (DDoS) 網路的一員。
Fortinet FortiGuard 安全研究小組指出,這波攻擊起自 2023 年 5 月。 Condi 的作者為 Telegram 上一名代號 zxcr9999,他經營了一個 Telegram 頻道銷售 DDoS 即服務,以及惡意程式原始碼等「商品」,稱為 Condi Network 。
Condi 不同於一些以暴力破解手法感染主機的殭屍網路,它是利用掃瞄模組檢查有無漏洞並駭入 TP-Link Archer AX21,成功後,再由遠端伺服器下載 shell script,以植入 Condi 。它掃瞄的目標之一是 CVE-2023-1389(風險值 8.8),這是一個指令注入漏洞,之前也曾被 Mirai 殭屍網路濫用。
惡意程式分析顯示,Condi 具有消滅同一主機上其他殭屍網路的能力,但是它欠缺長期滲透機制,表示系統重開機就能刪除。因此,為了克服這項缺點,Condi 會在駭入系統後,刪除關閉或重開主機的多個二進位檔。
Fortinet 也曾發現使用其他已知漏洞的 Condi 樣本,顯示只要是沒有修補漏洞的裝置都可能成為惡意程式下手的對象。
TP-Link 已在今年三月發佈韌體更新修補 Archer AX21 的漏洞,安全廠商也呼籲用戶應立即安裝。
稍早前另一家安全廠商 AhnLab 緊急事件回應中心也發現,DDoS 殭屍網路 ShellBot 和 Tsunami 意圖攻擊未修補的 Linux 伺服器漏洞以發動 DDoS 和挖礦。這些程式利用字典式攻擊下載多階段惡意程式,並在裝置上植入後門。