攻击者利用物联网漏洞部署新型ShadowV2恶意软件

2025年10月下旬,伴随全球AWS服务中断事件,一场代号为ShadowV2的新型恶意软件攻击活动浮出水面。该高级威胁通过利用物联网设备漏洞构建僵尸网络,专门实施分布式拒绝服务(DDoS)攻击。其快速传播态势表明攻击者正有组织地利用受感染硬件开展大规模破坏活动。

跨行业快速传播

该恶意软件已迅速波及科技、教育、零售等七大行业,影响范围覆盖美国、欧洲及亚洲的多家机构。安全专家认为,此次攻击激增很可能是攻击者为评估僵尸网络造成大规模服务中断能力而进行的"测试运行"。此次攻击活动的广泛性凸显了企业环境中未受保护联网设备带来的持续风险。

利用已知漏洞渗透设备

Fortinet安全分析师发现,该恶意软件利用了D-Link、TP-Link等厂商路由器及DVR设备中未修复的旧漏洞。攻击者通过瞄准这些已知弱点,成功入侵了大量未及时更新固件的设备。攻击链始于强制易受攻击设备从远程服务器(81.88.18.108)下载名为binary.sh的脚本。

如图所示,该脚本会自动检测主机架构(ARM、MIPS或x86),并获取对应的恶意软件载荷以确保成功执行。

ShadowV2技术分析

ShadowV2沿用了"LZRD" Mirai变种的架构,但采用了独特的混淆技术。启动时使用密钥0x22的简单XOR密码解密其配置。

厂商 CVE编号 漏洞详情
DDWRT CVE-2009-2765 HTTP守护进程任意命令执行
D-Link CVE-2020-25506 ShareCenter CGI代码执行
D-Link CVE-2022-37055 HNAP主程序缓冲区溢出
D-Link CVE-2024-10914 账户管理器命令注入
D-Link CVE-2024-10915 账户管理器命令注入
DigiEver CVE-2023-52163 时间设置CGI命令注入
TBK CVE-2024-3721 DVR命令注入
TP-Link CVE-2024-53375 Archer设备命令注入

解密后的隐藏数据包含文件路径(如/proc/)以及用于将恶意流量伪装成合法用户活动的欺骗性User-Agent字符串。

激活后,恶意软件会与其命令控制服务器建立联系以接收攻击指令。它支持多种DDoS攻击向量,包括UDP洪泛和TCP SYN洪泛攻击,并通过特定内部功能ID映射这些行为以实现对目标的快速攻击部署。

相关推荐
智圣新创0116 小时前
高校全域治理决策效能升级 智圣新创决策中台落地实操与行业趋势研判
大数据·人工智能·物联网
李永奉17 小时前
杰理可视化SDK开发-【BUG】配置“TWS两边同时按消息使能”功能后,按键单击功能无效失灵
开发语言·单片机·嵌入式硬件·物联网·bug
会周易的程序员17 小时前
从零构建多核CPU负载自适应控制系统
linux·c++·笔记·物联网·测试工具
乐橙开放平台20 小时前
巡店系统笔记:乐橙 listDeviceDetailsByPage 台账 + bindDeviceLive 辅码流最小闭环
网络·笔记·物联网·自动化·音视频·智能家居
csg11071 天前
PIC单片机PWM信号生成与控制
单片机·嵌入式硬件·物联网·自动化
小鱼儿电子1 天前
58-基于物联网的老年人医嘱联动健康监测装置
stm32·物联网·腾讯云·健康手环
zhaoshuzhaoshu2 天前
Zephyr 实时操作系统详细介绍
物联网·系统架构
老孙讲技术2 天前
巡店系统笔记:listDeviceDetailsByPage 台账 + bindDeviceLive 辅码流最小闭环
后端·物联网
数字新视界2 天前
档案库房环境安全监控解决方案
大数据·运维·数据库·物联网·环境监控系统
学无-止境3 天前
STM32H743 + CMSIS-RTOS2 + Mongoose 网络协议栈移植教程
arm开发·物联网