近期，威胁行为者利用Wazuh服务器中已修复的关键安全漏洞（CVE-2025-24016），部署了两种不同的Mirai僵尸网络变种，并发动分布式拒绝服务（DDoS）攻击。该漏洞允许远程执行代码，影响Wazuh服务器4.4.0及以上版本。攻击者通过注入恶意JSON负载利用此漏洞，下载并执行Mirai僵尸网络负载，其中包含LZRD和Resbot等变种。这些僵尸网络利用多种漏洞进行传播，针对IoT设备和服务器，并持续扫描互联网寻找可感染设备。此次事件再次表明，僵尸网络运营商利用新发布的漏洞进行攻击的时间窗口正在缩短。

💥 CVE-2025-24016漏洞：该漏洞存在于Wazuh API中，允许威胁行为者通过注入恶意JSON负载远程执行任意Python代码。

👾 Mirai僵尸网络变种：攻击者利用该漏洞部署了两种不同的Mirai僵尸网络变种，包括LZRD和Resbot，用于发动DDoS攻击。

🛡️ 漏洞利用时间窗口：研究表明，僵尸网络运营商利用新发布的漏洞进行攻击的时间窗口正在缩短，强调了及时修补漏洞的重要性。

🌍 攻击目标：Resbot僵尸网络可能针对意大利语用户，表明攻击具有针对性。同时，Mirai僵尸网络也利用其他漏洞进行传播，攻击目标涉及多个国家和地区。

HackerNews 编译，转载请注明出处：

威胁行为者正利用Wazuh服务器中一个现已修复的关键安全漏洞，部署两种不同的Mirai僵尸网络变种，并利用它们发动分布式拒绝服务（DDoS）攻击。

Akamai于2025年3月下旬首次发现了这些利用活动，该公司称该恶意活动针对的是CVE-2025-24016（CVSS评分：9.9）。这是一个不安全反序列化漏洞，允许在Wazuh服务器上远程执行代码。

该漏洞影响了服务器软件4.4.0及以上所有版本，已于2025年2月通过发布4.9.1版本得到修复。在补丁发布的同时，概念验证（PoC）漏洞利用代码也被公开披露。

该问题的根源在于Wazuh API中，分布式API（DistributedAPI）的参数被序列化为JSON格式，并使用文件 framework/wazuh/core/cluster/common.py 中的 “as_wazuh_object”函数进行反序列化。威胁行为者可通过注入恶意JSON负载来利用此漏洞远程执行任意Python代码。

Akamai表示，在漏洞及其PoC公开披露仅仅几周后，他们就发现了两个不同的僵尸网络试图利用CVE-2025-24016。这些攻击分别发生在2025年3月初和5月。

“这是僵尸网络运营商针对新发布的CVE所采用的漏洞利用时间窗口不断缩短的最新例证。”安全研究人员Kyle Lefton和Daniel Messing在分享给The Hacker News的一份报告中表示。

在第一种情况下，成功的漏洞利用为执行一个shell脚本铺平了道路，该脚本充当下载器，从外部服务器（“176.65.134[.]62”）为不同架构下载Mirai僵尸网络负载。据评估，这些恶意软件样本是自2023年就已存在的LZRD Mirai的变种。

值得注意的是，LZRD最近也被部署在利用已终止支持（EoL）的GeoVision物联网（IoT）设备的攻击中。然而，Akamai告诉The Hacker News，没有证据表明这两个活动集群是同一个威胁行为者所为，因为LZRD被众多僵尸网络运营商使用。

对 “176.65.134[.]62” 及其关联域名的进一步基础设施分析，导致了其他Mirai僵尸网络版本的发现，包括名为 “neon” 和 “vision” 的LZRD变种，以及一个更新版的V3G4。

该僵尸网络利用的其他安全漏洞还包括Hadoop YARN中的漏洞、TP-Link Archer AX21（CVE-2023-1389）的漏洞以及中兴ZTE ZXV10 H108L路由器中的远程代码执行漏洞。

第二个滥用CVE-2025-24016的僵尸网络采用了类似的策略，使用恶意shell脚本来分发另一个称为Resbot（又名Resentual）的Mirai僵尸网络变种。

“我们注意到关于这个僵尸网络的一个有趣之处是它使用的关联语言。它使用了各种域名来传播恶意软件，这些域名都带有意大利语命名法，”研究人员说。“这种语言命名约定可能表明这是一场专门针对意大利语用户拥有和运行的设备发起的活动。”

除了试图通过端口21上的FTP传播以及进行telnet扫描外，该僵尸网络还被发现利用了针对华为HG532路由器（CVE-2017-17215）、Realtek SDK（CVE-2014-8361）和TrueOnline ZyXEL P660HN-T v1路由器（CVE-2017-18368）等多种漏洞进行传播。

“Mirai的传播相对而言仍在持续，因为重新利用和重用旧源代码来建立或创建新的僵尸网络仍然相当简单，”研究人员表示。“而且僵尸网络运营商通常只需利用新发布的漏洞就能取得成功。”

CVE-2025-24016远非唯一被Mirai僵尸网络变种滥用的漏洞。在最近的攻击中，威胁行为者还利用了CVE-2024-3721（一个影响TBK DVR-4104和DVR-4216数字录像设备的中等严重性命令注入漏洞）将设备招募进僵尸网络。

该漏洞被用来触发一个shell脚本的执行，该脚本负责从远程服务器（“42.112.26[.]36”）下载Mirai僵尸网络并执行它，但在执行前会检查自身是否在虚拟机或QEMU中运行。

俄罗斯网络安全公司卡巴斯基表示，感染主要集中在中国、印度、埃及、乌克兰、俄罗斯、土耳其和巴西，并补充说他们识别出超过50,000台暴露在互联网上的DVR设备。

“利用未修补的物联网设备和服务器中的已知安全漏洞，加上针对基于Linux系统的恶意软件的广泛使用，导致大量僵尸程序不断扫描互联网以寻找要感染的设备。”安全研究员Anderson Leite说。

此消息披露之际，根据StormWall分享的统计数据，在2025年第一季度，中国、印度、新加坡、日本、马来西亚、香港地区、印尼、韩国和孟加拉国已成为亚太地区受攻击最多的目标。

“API洪水攻击和地毯式轰炸攻击比传统的TCP/UDP容量攻击增长更快，促使公司采用更智能、更灵活的防御措施，”该公司表示。“与此同时，不断升级的地缘政治紧张局势推动了对政府系统和台湾地区的攻击激增——突显了黑客活动分子和国家资助的威胁行为者活动的增加。”

此前，美国联邦调查局（FBI）发布警告称，BADBOX 2.0僵尸网络已感染了数百万台互联网连接设备（其中大部分是中国制造），以将其变成住宅代理（residential proxies）来促进犯罪活动。

“网络犯罪分子通常在用户购买前就在产品中预装恶意软件进行配置，或者在设备下载含有后门的必要应用程序（通常在设置过程中）时感染设备，从而未经授权访问家庭网络，”FBI表示。

“BADBOX 2.0僵尸网络由数百万台受感染设备组成，并维护着众多通往代理服务的后门。网络犯罪分子通过出售或免费提供对受感染家庭网络的访问权限来利用这些后门进行各种犯罪活动。”

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文