一款名为 "ShadowV2" 的新型 Mirai 衍生僵尸网络恶意软件已被发现，其利用已知漏洞针对 D-Link、TP-Link 等厂商的物联网设备发起攻击。

FortiGuard Labs 研究人员在 10 月亚马逊云服务大规模宕机期间监测到该攻击活动。尽管两起事件并无关联，但该僵尸网络仅在宕机期间活跃，这一特征或表明此次活动为一次测试性攻击。

攻击载体：8 个跨厂商 IoT 设备漏洞

ShadowV2 通过利用多款 IoT 产品的至少 8 个已知漏洞进行传播，涉及设备及对应漏洞如下：

- DD-WRT 路由器：CVE-2009-2765

- D-Link 设备：CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915

- DigiEver 设备：CVE-2023-52163

- TBK 设备：CVE-2024-3721

- TP-Link 设备：CVE-2024-53375

其中，CVE-2024-10914 是已被公开利用的命令注入漏洞，影响 D-Link 多款已停产（EoL）设备，厂商已明确表示不会为该漏洞提供修复补丁。 

经与厂商核实后确认，受影响设备型号同样不会获得该漏洞的修复支持。D-Link 方面已更新旧版公告并添加该漏洞的 CVE 编号，同时发布新公告提及 ShadowV2 攻击活动表示已停产或终止支持的设备将不再进行开发维护，也不会收到固件更新。

另一漏洞 CVE-2024-53375 于 2024 年 11 月被详细披露，据悉厂商已通过测试版（beta）固件更新修复该漏洞。

攻击范围与技术特征

ShadowV2 使用的各种漏洞利用

FortiGuard Labs 研究人员表示，ShadowV2 的攻击流量源自 IP 地址 198 [ . ] 199 [ . ] 72 [ . ] 27，目标涵盖路由器、网络附加存储（NAS）设备及数字视频录像机（DVR），涉及政府、科技、制造、托管安全服务提供商（MSSP）、电信、教育等七大行业，攻击范围遍布全球，包括美洲、欧洲、非洲、亚洲及大洋洲。

技术层面，该恶意软件自称为 "ShadowV2 Build v1.0.0 IoT version"，与 Mirai 僵尸网络的 LZRD 变种存在相似性。其传播流程为：通过下载器脚本（binary.sh）从 81 [ . ] 88 [ . ] 18 [ . ] 108 服务器获取恶意程序，完成初始植入。

下载脚本

在配置加密方面，ShadowV2 采用 XOR 编码对文件系统路径、用户代理（User-Agent）字符串、HTTP 头及 Mirai 风格特征字符串进行加密处理。

功能上，该僵尸网络支持对 UDP、TCP 及 HTTP 协议发起分布式拒绝服务攻击，且每种协议均包含多种洪水攻击类型，控制服务器通过向受控设备（僵尸机）发送指令触发攻击。

DDoS 攻击触发

通常情况下，DDoS 僵尸网络的盈利模式包括向网络犯罪分子出租攻击算力，或直接勒索攻击目标（要求支付赎金以停止攻击）。但截至目前，ShadowV2 的幕后操控者身份及其盈利策略尚未明确。