吳明宜Fortinet 研究人員發現一隻兇險的惡意程式名為 Gayfemboy,以高超的迴避手法和跨平台能力,鎖定知名品牌網路裝置發動攻擊。
這波攻擊影響全球企業和組織,惡意程式濫用了知名廠商包括 DrayTek 、 TP-Link 、 Raisecom 和 Cisco 的路由器漏洞,植入後門程式建立長期殭屍網路與分散式阻斷服務 (denial of service, DDoS) 基礎架構。
Gayfemboy 自從被中國研究人員發現以來,活動日愈頻繁,而在今年 7 月被 Fortinet 研究人員發現後再度現身。這波攻擊源自 87[.]121[.]84[.]34,而惡意酬載則是由另一個 IP 散佈。攻擊目標涵括了 DrayTek Vigor 系列路由器、 TP-Link Archer AX21 裝置、 Raisecom MSG 閘道系統以及 Cisco Identity Services Engine (ISE) 平台。在這波攻擊中,Gayfemboy 濫用了 10 項漏洞,CVE-2020-8515 、 CVE-2023-1389 、 CVE-2024-7120 以及最近思科 ISE 爆出的 CVE-2025-20281 。
受駭裝置則是散佈全球,包括巴西、墨西哥、美國、德國、法國、瑞士、以色列和越南。而被駭組織的產業也分散製造業、科技、營造和媒體通訊業。
Gaymfemboy 是源自 Mirai,但是有別於傳統 Mirai 變種,它具有高明的反分析機制和混淆能力。
這隻惡意程式修改了標準的 UPX packing 標頭,以無法讀取的十六進位值取代可被識別的 UPX! 簽章這模糊化手法來躲避偵測。它也依據架構命名,加上特殊的識別標誌,例如 x64 架構命名為 xale,Aarch64 則取名 aale,而不是用好預測的 Linux 架構副檔名,避開 unpacking 工具的偵測。。
Gayfamboy 包含四個主要功能各異的模組,包括監控、持久潛伏、攻擊者與遠端擊殺模組。它還利用精確的 50 奈秒延時,造成虛擬環境「延長休眠時期」,藉此繞過沙箱。其 C&C 基礎架構使用了多個網域及 DNS 解析,透過公共解析服務如 8.8.8.8 繞過本地過濾機制。它並掃瞄了 15 個預先定義的 C&C 通訊埠,確保即使在頻寬受限的網路環境下也能連線。
Fortinet 公佈保護措施
提供網路裝置的 Fortinet 則透過 FortiGuard 服務實作防毒簽章,防範 Gayfamboy 。而受影響產品的用戶則最好能立即安裝最新版本防堵漏洞。
來源:GB Hacker