黑客利用 cnPilot 路由器的零日漏洞部署 AIRASHI DDoS 僵尸网络

威胁行为者正在利用 Cambium Networks cnPilot 路由器中未指定的零日漏洞来部署 AISURU 僵尸网络的变体（名为 AIRASHI）来实施分布式拒绝服务 (DDoS) 攻击。

据奇安信 XLab 称，自 2024 年 6 月以来，攻击就利用了这一安全漏洞。为了防止进一步滥用，有关这些缺陷的更多详细信息已被隐瞒。

分布式拒绝服务 (DDoS) 僵尸网络利用的其他一些漏洞包括CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、 CVE-2022-3573 、CVE -2022-40005、CVE-2022-44149、CVE-2023-28771，以及影响 AVTECH IP 摄像机、LILIN DVR 和深圳 TVT 设备的漏洞。

XLab 表示：“AIRASHI 的运营商一直在 Telegram 上发布他们的 DDoS 能力测试结果。从历史数据来看，AIRASHI 僵尸网络的攻击能力保持稳定在 1-3 Tbps 左右。”

大多数受感染的设备位于巴西、俄罗斯、越南和印度尼西亚，其中中国、美国、波兰和俄罗斯成为恶意攻击的主要目标。

AIRASHI 是AISURU （又名 NAKOTNE）僵尸网络的一个变种，该网络安全公司曾在 2024 年 8 月标记过该僵尸网络，该网络与针对 Steam 的 DDoS 攻击有关，当时正值游戏《黑神话：悟空》的发布。

频繁更新的僵尸网络和 AIRASHI 的部分变种也被发现包含代理软件功能，这表明威胁行为者打算扩展其服务，而不仅仅是进行 DDoS 攻击。

据称，AISURU 曾于 2024 年 9 月暂时停止了攻击活动，但一个月后又重新出现，并更新了功能（称为 kitty），并于 11 月底再次进行了第二次刷新（又名 AIRASHI）。



XLab 指出：“Kitty 样本于 2024 年 10 月初开始传播。” “与之前的 AISURU 样本相比，它简化了网络协议。到 10 月底，它开始使用 SOCKS5 代理与 C2 服务器进行通信。”

另一方面，AIRASHI 至少有两种不同的风格 -

AIRASHI-DDoS（于 10 月下旬首次发现），主要针对 DDoS 攻击，但也支持任意命令执行和反向 shell 访问
AIRASHI-Proxy（于 12 月初首次发现），是 AIRASHI-DDoS 的修改版本，具有代理功能

僵尸网络除了不断调整通过 DNS 查询获取 C2 服务器详细信息的方法外，还依赖于一种全新的网络协议，该协议涉及 HMAC-SHA256 和 CHACHA20 算法进行通信。此外，AIRASHI-DDoS 支持 13 种消息类型，而 AIRASHI-Proxy 仅支持 5 种消息类型。

调查结果显示，不法分子继续利用物联网设备中的漏洞作为初始访问媒介，并构建僵尸网络，利用这些漏洞发起强大的 DDoS 攻击。

奇安信披露了一个名为 alphatronBot 的跨平台后门，该后门针对中国政府和企业，旨在将受感染的 Windows 和 Linux 系统纳入僵尸网络。该恶意软件自 2023 年初开始活跃，采用了名为PeerChat的合法开源点对点 (P2P) 聊天应用程序与其他受感染节点进行通信。

P2P 协议的去中心化特性意味着攻击者可以通过任何受感染的节点发出命令，而无需通过单个 C2 服务器路由它们，从而使僵尸网络更能抵御攻击。

该公司表示： “后门内置的 700 多个 P2P 网络由来自 80 个国家和地区的受感染网络设备组件组成。” “这些节点涉及 MikroTik 路由器、海康威视摄像头、VPS 服务器、DLink 路由器、CPE 设备等。”

去年，XLab 还详细介绍了一种代号为 DarkCracks 的复杂而隐秘的有效载荷传送框架，该框架利用受感染的 GLPI 和 WordPress 网站充当下载器和 C2 服务器。

报告称：“其主要目标是从受感染的设备收集敏感信息，维持长期访问权限，并使用受感染的、稳定的、高性能的设备作为中继节点来控制其他设备或传递恶意负载，从而有效地掩盖攻击者的足迹。 ”

“我们发现被入侵的系统属于不同国家的关键基础设施，包括学校网站、公共交通系统和监狱访客系统。”