MooBot 惡意軟件針對D-Link 路由器進行攻擊

據外媒網站披露，在新一輪的攻擊浪潮中，被稱為 “MooBot ” 的 Mirai 惡意軟件僵尸網絡變種再次出現。它針對易受攻擊的 D-Link 路由器，混合使用新舊漏洞，進行網絡攻擊。

去年12月，Fortinet 分析師發現了 MooBot 惡意軟件團伙，當時該團伙正在針對某廠商攝像頭中存在的一個漏洞實施DDoS 攻擊。

惡意軟件以D-Link 設備為目標進行攻擊

近期，研究人員發現MooBot 惡意軟件更新目標范圍，從報告來看，MooBot 目前主要針對 D-Link 路由器設備中存在的幾個關鍵漏洞。

漏洞詳情

1、CVE-2022-28958: D-Link 遠程命令執行漏洞；

2、CVE-2022-26258: D-Link 遠程命令執行漏洞；

3、CVE-2018-6530: D-Link SOAP 接口遠程代碼執行漏洞；

4、CVE-2015-2051: D-Link HNAP SOAPAction Header 命令執行漏洞；

通過利用漏洞的低攻擊復雜性，MooBot 惡意軟件幕后操作者在目標上遠程執行代碼，并使用任意命令獲取惡意軟件二進制文件。

MooBot 的最新攻擊概述（unit單元）

惡意軟件從配置中解碼出硬編碼地址后，新捕獲的路由器會立即被注冊在攻擊者的 C2 上。此外，unit 單元在報告中提出的 C2 地址與 Fortinet 的寫法不同，側面證明了攻擊者的基礎設施有了更新。

被捕獲的路由器會參與針對不同目標的定向 DDoS 攻擊，具體怎樣操作取決于 MooBot 團伙希望實現的目標。不過通常情況下，攻擊者往往會向其他人出售 DDoS 服務。

為了防止攻擊者利用漏洞，設備供應商已經發布了安全更新來解決上述漏洞，但是并不是所有的用戶都更新了補丁。因為有2個補丁是今年3月和5月份才發布的，應該還有一些用戶沒有更新補丁。

D-Link 設備遭受攻擊后，用戶可能會感覺到網速下降、反應慢、路由器過熱或莫名其妙的DNS配置變化，這些都是僵尸網絡感染的常見跡象。

安全建議

為了防止MooBot 造成危害，建議用戶更新D-Link 路由器上應用可用的固件。如果用戶使用的是就設備，那么將其配置為防止遠程訪問管理面板。用戶如果感覺已經遭到了網絡入侵，那么應該從相應的物理按鈕執行重置，比如更改管理密碼，然后立即安裝供應商提供的安全更新。

不管是什么設備，平時使用的時候一定要注意固件升級，有漏洞的設備一定要及時打補丁升級，或者換成更安全。網絡威脅無處不在，在平時一定要提高警惕，注意做好防范措施，才能避免攻擊者利用漏洞發起網絡攻擊。