استخدمت البرامج الضارة الجديدة لشبكة الروبوتات ShadowV2 انقطاع خدمة AWS كفرصة اختبار

تمت ملاحظة وجود برنامج ضار جديد لشبكة الروبوتات المستندة إلى Mirai يُسمى “ShadowV2” يستهدف أجهزة إنترنت الأشياء من D-Link وTP-Link وغيرهم من البائعين الذين لديهم ثغرات أمنية معروفة.

اكتشف باحثو FortiGuard Labs في Fortinet النشاط أثناء التخصص”https://www.bleepingcomputer.com/news/technology/aws-outage-crashes-amazon-prime-video-fortnite-perplexity-and-more/” الهدف=”_blank” rel=”nofollow noopener”> انقطاع AWS في أكتوبر. على الرغم من أن الحادثتين غير متصلتين، إلا أن شبكة الروبوتات كانت نشطة فقط طوال مدة الانقطاع، مما قد يشير إلى أنها كانت تجربة تشغيل.

انتشر ShadowV2 من خلال الاستفادة من ثماني نقاط ضعف على الأقل في العديد من منتجات إنترنت الأشياء:

“https://www.bleepstatic.com/c/w/wiz/MCP-Research-Guide-970×250.png” البديل=”Wiz”>

• DD-WRT (CVE-2009-2765)
• دي لينك (CVE-2020-25506، CVE-2022-37055، CVE-2024-10914، CVE-2024-10915)
• ديجي ايفر (CVE-2023-52163)
• تي بي كيه (CVE-2024-3721)
• تي بي لينك (CVE-2024-53375)

من بين هذه العيوب، CVE-2024-10914 هو أ”https://www.bleepingcomputer.com/news/security/critical-bug-in-eol-d-link-nas-devices-now-exploited-in-attacks/” الهدف=”_blank” rel=”nofollow noopener”> معروف للاستغلال ثغرة في حقن الأوامر تؤثر على أجهزة EoL D-Link، والتي أعلن عنها البائع”https://www.bleepingcomputer.com/news/security/d-link-wont-fix-critical-flaw-affecting-60-000-older-nas-devices/” الهدف=”_blank” rel=”nofollow noopener”> لن يتم الإصلاح.

فيما يتعلق بـ CVE-2024-10915، والذي يوجد به ملف”https://netsecfish.notion.site/Command-Injection-Vulnerability-in-group-parameter-for-D-Link-NAS-12d6b683e67c803fa1a0c0d236c9a4c5″ الهدف=”_blank” rel=”nofollow noopener”> تقرير NetSecFish اعتبارًا من نوفمبر 2024، لم تجد BleepingComputer في البداية نصيحة البائع بشأن الخلل. وبعد التواصل مع الشركة، تلقينا تأكيدًا بأن المشكلة لن يتم حلها بالنسبة للنماذج المتأثرة.

دي لينك”https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10413″ الهدف=”_blank” rel=”nofollow noopener”>تم تحديث نشرة قديمة لإضافة معرف CVE-ID و”http://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10482″ الهدف=”_blank” rel=”nofollow noopener”> نشرت واحدة جديدةفي إشارة إلى حملة ShadowV2، لتحذير المستخدمين من أن الأجهزة التي انتهت صلاحيتها أو انتهى دعمها لم تعد قيد التطوير ولن تتلقى تحديثات البرامج الثابتة.

CVE-2024-53375، والذي كان أيضًا”https://thottysploity.github.io/posts/cve-2024-53375/” الهدف=”_blank” rel=”nofollow noopener”> المقدمة بالتفصيل في نوفمبر 2024، تم إصلاحه عبر تحديث البرنامج الثابت التجريبي.

وفقًا لباحثي FortiGuard Labs، نشأت هجمات ShadowV2 من 198[.]199[.]72[.]27، وأجهزة التوجيه المستهدفة، وأجهزة NAS، ومسجلات الفيديو الرقمية عبر سبعة قطاعات، بما في ذلك الحكومة والتكنولوجيا والتصنيع ومقدمي خدمات الأمن المدارة (MSSPs) والاتصالات والتعليم.

وكان التأثير عالميًا، حيث لوحظت هجمات في أمريكا الشمالية والجنوبية وأوروبا وأفريقيا وآسيا وأستراليا.

تعرف البرامج الضارة نفسها على أنها “ShadowV2 Build v1.0.0 IoT version,”وهو مشابه لمتغير Mirai LZRD”https://www.fortinet.com/blog/threat-research/shadowv2-casts-a-shadow-over-iot-devices” الهدف=”_blank” rel=”nofollow noopener”> يقول الباحثونفي تقرير يوفر تفاصيل فنية حول كيفية عمل ShadowV2.

يتم تسليمه إلى الأجهزة الضعيفة من خلال مرحلة الوصول الأولي باستخدام البرنامج النصي للتنزيل (binary.sh) الذي يجلبه من خادم في 81[.]88[.]18[.]108.

يستخدم التكوين المشفر بـ XOR لمسارات نظام الملفات، وسلاسل وكيل المستخدم، ورؤوس HTTP، وسلاسل نمط Mirai.

ومن حيث القدرات الوظيفية، فهو يدعم هجمات رفض الخدمة الموزعة (DDoS) على بروتوكولات UDP وTCP وHTTP، مع أنواع مختلفة من الفيضان لكل منها. تقوم البنية التحتية للقيادة والتحكم (C2) بتشغيل هذه الهجمات عبر الأوامر المرسلة إلى الروبوتات.

عادة، تجني شبكات DDoS الأموال عن طريق تأجير قوتها النارية لمجرمي الإنترنت أو عن طريق ابتزاز الأهداف مباشرة، والمطالبة بدفع أموال مقابل إيقاف الهجمات. ومع ذلك، ليس من المعروف حتى الآن من يقف وراء Shadow V2 وما هي استراتيجية تحقيق الدخل الخاصة بهم.

شاركت Fortinet مؤشرات الاختراق (IoCs) للمساعدة في تحديد هذا التهديد الناشئ في الجزء السفلي من التقرير، مع التحذير من أهمية تحديث البرامج الثابتة على أجهزة إنترنت الأشياء.