近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现 Morte 僵尸网络持续活跃，其主要攻击目标为 SOHO 路由器、物联网（IoT）设备及 Oracle WebLogic、WordPress、vBulletin 等企业应用，可能导致数据泄露、系统受控、业务中断等风险。

Morte 僵尸网络是一种依赖 " 加载器即服务（LaaS）" 模式运作的网络安全威胁，已活跃至少 6 个月。该僵尸网络主要通过三种方式入侵目标：一是 Web 界面命令注入，攻击者滥用 ntp、syslog、hostname 等未过滤的 POST 参数，执行 wget/curl | sh 等恶意 shell 命令；二是暴力破解或凭证喷洒设备默认凭证（如 admin:admin）；三是利用已知漏洞，包括 CVE-2019-16759（vBulletin 预认证 RCE）、CVE-2019-17574（WordPress Popup Maker 插件漏洞）等。入侵目标系统后，攻击者首先释放小型 shell 脚本作为 dropper（投放器，一种轻量隐蔽的恶意脚本或程序，作为初始跳板秘密部署后续恶意载荷），随后安装跨架构原生二进制文件（如 morte.x86、morte.x86_64），借助 BusyBox 工具实现多平台的兼容性，同时利用计划任务、进程注入等技术实现对目标系统的长久控制，最终部署加密货币挖矿模块（如基于 JSON-RPC 协议的 eth_getWork），劫持设备 CPU/GPU 资源进行加密货币挖矿。此外，Morte 支持 HTTP C2 轮询，在数十个 IP 间轮换基础设施以逃避追踪，攻击者可借此执行 DDoS 攻击、数据窃取、转售被攻陷设备访问权至黑市或进一步横向渗透扩大威胁。

建议相关单位和用户立即组织排查，修复相关设备及应用的安全漏洞，禁用默认登录凭证，关闭不必要的路由器诊断页面，更新防病毒软件，实施全盘病毒查杀，并可通过定期备份数据等措施，防范网络攻击风险。

文章来源自：网络安全威胁和漏洞信息共享平台