工业路由器中的新型僵尸网络 “Gayfemboy”

关键要点

报道指出，黑客们利用 Four-Faith 工业网络专家制造的路由器上的零日漏洞，创建了一个名为“Gayfemboy”的僵尸网络。

编辑说明： SCworld 支持 LGBTQ+ 社区，此僵尸网络名称仅用于教育目的。

发现，该僵尸网络通过各种身份验证漏洞和攻击者自行发现的 Telnet 凭证，针对工业系统进行攻击。

“无数脚本小子怀揣发财梦，汇聚到 DDoS 黑市，手中握有，幻想着能够通过僵尸网络赚取巨额财富，”XLab 如此解释道。

但现实非常残酷——这些人带着满满的雄心，最终却失望而归，留下了一系列生存时间不超过 3-4 天的。

然而，令这个威胁行为者与众不同的是其雄心壮志。他们没有依赖于自动化工具和预先编写的漏洞利用代码，而是主动去寻找可被利用的路由器漏洞。

结果是，这个僵尸网络尽管基于 Mirai 恶意软件的代码，但具备独特的行为，首次接触时难以检测和反制。这些设备可以被指令无限制地向目标发送流量请求，制造
DDoS 条件。

XLab 表示：“我们注册了多个 C2 域名，以观察感染设备并测量僵尸网络的规模。”

他们的发现显示，“Gayfemboy”超过了 40 种分组类别，并且每天活跃节点超过 15,000 个。

由于感染的路由器往往是以“设置即忘”的方式处理的工业硬件，使得撤除这一僵尸网络变得尤其困难。运营商通常会安装路由器，除非发生停电，否则不再维护固件更新和安全补丁。

这使得这些设备容易成为攻击者的目标，导致看似不易受攻击的设备也可能被用来创建僵尸网络。虽然该恶意代码并不复杂，但在执行一些基本命令以洪水式攻击目标方面，仍然表现得很有效。

XLab 强调：“它可以迅速启动大规模的流量攻击，利用分布式僵尸网络、恶意工具或放大技术，消耗、禁用或干扰目标网络的资源。因此，DDoS已成为最常见和破坏性最大的网络攻击形式之一。”

“它的攻击模式多样，攻击路径高度隐蔽，并能不断演变策略和技术，精确打击各行业和系统，给企业、政府组织和个人用户构成重大威胁。”