Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
Aqua 的威脅情報總監 Assaf Morag 表示:「這個攻擊行動堪稱一站式網路攻擊服務,從掃描、漏洞利用、惡意程式部署到工具包設置,展現了完整的自助式網路攻擊方法。」
根據調查,這個攻擊行動疑似是一名俄羅斯籍的單獨行動者所為,主要針對中國、日本的 IP 位址,其次是阿根廷、澳洲、巴西、埃及、印度和美國。值得注意的是,烏克蘭並未出現在受害者名單中,這顯示攻擊者的動機純粹是財務利益。
攻擊者的主要手法包括:
- 利用已知的安全漏洞
- 利用預設或弱密碼存取各類物聯網設備,如 IP 攝影機、數位錄影機、路由器和電信設備
- 攻擊設定錯誤的 Telnet、SSH 和 Hadoop 伺服器
攻擊特別針對 AWS、Azure 和 Google Cloud 等雲端服務供應商的 IP 位址範圍。攻擊者大量使用 GitHub 上公開的腳本和工具,在被入侵的設備和伺服器上部署 Mirai 殭屍網路惡意程式和其他 DDoS 相關程式,包括 PYbot、pynet、DiscordGo、Homo Network 等工具,以及可在 Windows 機器上停用 Microsoft Defender 防毒軟體的工具。
據了解,Matrix 於 2023 年 11 月開設了自己的 GitHub 帳號,用於存放部分 DDoS 攻擊工具。這些攻擊服務透過名為「Kraken Autobuy」的 Telegram 機器人進行販售,客戶可以選擇不同等級的服務,並使用加密貨幣付款。
Morag 指出:「雖然這個攻擊活動技術含量不高,但它展示了如何利用現成工具和基本技術知識,對網路連接設備的眾多漏洞和錯誤配置發動大規模攻擊。這突顯了基本安全措施的重要性,如更改預設憑證、保護管理協定、及時更新韌體等。」
與此同時,資安公司 NSFOCUS 也揭露了另一個名為 XorBot 的殭屍網路家族,自 2023 年 11 月以來主要針對 Intelbras 攝影機以及 NETGEAR、TP-Link 和 D-Link 的路由器。該殭屍網路以 Masjesu 為名提供 DDoS 攻擊租賃服務,並採用插入冗餘程式碼和混淆樣本特徵等進階技術手段,提高檔案層級的防禦能力,使攻擊行為更難被監控和識別。
這兩起事件再次提醒企業和個人用戶,在部署物聯網設備時必須格外注意基本的資安防護措施,避免成為殭屍網路的一部分。
