ShadowV2活躍再現
2025年10月底,一個名為ShadowV2的Mirai衍生物聯網殭屍網路活躍於28個國家,利用未修補的物聯網設備進行攻擊。雖然活動僅持續一天,但顯示出未受保護的連網硬件所帶來的持續風險。
ShadowV2攻擊技術分析
根據業界報告,ShadowV2主要針對D-Link、TP-Link、DigiEver、TBK和基於DD-WRT系統的消費者和企業物聯網設備。攻擊者利用已知漏洞,如命令注入和緩衝區溢出,植入下載腳本(binary.sh),從遠端主機提取設備特定的二進制文件。
安裝完成後,ShadowV2模仿LZRD Mirai變體的某些特徵:
- 在運行時解密的XOR編碼配置文件
- 通過指揮與控制伺服器獲取攻擊指令
- 支持多種DDoS攻擊向量,包括UDP洪水和TCP SYN洪水
- 使用混淆技術使攻擊流量與合法網絡活動融合
受影響行業與地區
該殭屍網路影響了多個行業,包括科技、零售、製造、電信、教育和政府,展現了未修補設備的普遍安全漏洞。感染範圍涵蓋美國、加拿大、英國、法國、意大利、中國、日本和澳大利亞等28個國家。
之前的ShadowV2活動回顧
2025年早些時候,我們曾報導過ShadowV2作為雲端原生的DDoS即服務平台,利用AWS和其他雲端供應商的錯誤配置Docker API,允許用戶透過自助服務入口發動DDoS攻擊。儘管兩次活動共享ShadowV2名稱,尚無技術聯繫:
- 目標環境不同:雲端容器與物聯網設備
- 攻擊技術與負載傳遞機制各異
- 未記錄共用的指揮與控制基礎設施
關於FastNetMon
FastNetMon是領先的網路安全解決方案,提供先進的DDoS檢測與緩解功能。透過即時分析和快速反應能力,FastNetMon協助組織保護其基礎設施免受不斷演變的網路威脅。了解更多信息,請訪問 FastNetMon 官網。