本文探讨了 Murdoc_Botnet 近期的活动，这是一种针对 AVTECH 和华为易受攻击设备的 Mirai 恶意软件变种。Qualys 威胁研究小组于 2024 年 7 月发现了这一正在进行的活动。

Qualys 威胁研究小组发现了一个始于 2024 年 7 月的 Mirai 僵尸网络活动，该活动部署了一个名为 Murdoc_Botnet 的新僵尸网络。这是 Mirai 活动中的一次大规模行动，利用了针对 AVTECH 摄像机和华为 HG532 路由器的漏洞。

攻击者利用 ELF 和 shell 脚本执行来部署 Murdoc_Botnet 僵尸网络样本。该技术利用现有漏洞（CVE-2024-7029、CVE-2017-17215）下载下一阶段有效载荷。研究始于发现和分析用于 DDOS 活动的 Murdoc_Botnet 二进制文件。利用 Qualys EDR、威胁情报数据和开源情报 (OSINT)，研究人员将 Murdoc_Botnet 定义为 Mirai 变种。

研究人员发现了约 1300 多个活动 IP 和 100 多个不同的服务器，每个服务器的任务都是破译其活动并与受损 IP/服务器建立通信。这些服务器为 Mirai 恶意软件的传播提供了便利。这些服务器在传播 Mirai 恶意软件方面发挥了作用。

进一步分析发现，有 100 多台指挥控制服务器负责与受感染设备建立通信。这些服务器也为 Mirai 恶意软件的传播提供了便利。

根据 Qualys Threat Research 在发布前与 Hackread.com 独家分享的技术博文，Murdoc_Botnet 的目标是 *nix 系统，尤其是易受攻击的 AVTECH 和华为设备。该恶意软件主要使用 bash 脚本，利用 GTFOBins 获取有效载荷，使用 chmod 授予其执行权限，然后执行并删除它们。

此外，它还利用现有漏洞获取下一阶段的有效载荷。感染过程包括利用漏洞下载 shell 脚本。这些脚本会在被入侵的设备上执行，进而下载新变种的 Mirai 僵尸网络（Murdoc_Botnet）。

马来西亚、泰国、墨西哥和印度尼西亚已被确定为此次活动中受影响最严重的国家。为防范 Murdoc_Botnet 攻击，企业应监控可疑进程，避免执行来自不可信来源的 shell 脚本，并使用最新补丁更新系统和固件。这些措施可以大大降低感染 Murdoc_Botnet 和 Mirai 变种的风险。