2022-03-10新的Satori 僵尸网络变种奴役了数千台 Dasan WiFi 路由器

新的Satori 僵尸网络变种奴役了数千台 Dasan WiFi 路由器

概述

2018年 2 月 8日，Radware的欺骗网络检测到 8080 端口上的恶意活动显着增加。进一步调查发现了Satori僵尸网络的新变种，能够主动扫描和利用CVE-2017-18046- Dasan未经身份验证的远程执行代码。被称为“Satori.Dasan”，以高成功率迅速扩张。此僵尸网络的 C2/Exploit 服务器是 185.62.188.88（AS49349 – BlazingFast LLC，乌克兰）

目前尚不清楚这个新僵尸网络的目的是什么，因为我们无法在二进制文件中找到特定的攻击媒介。

我们的分析表明，Satori正在寻求收购超过 40,000 台物联网设备，以加入其不断壮大的加密货币矿工大家庭，正如我们在这里和这里所看到的那样。这将使Satori.dasan恶意软件成为第一阶段感染，负责快速扫描互联网以寻找易受攻击的设备。

网络覆盖

在过去的两天里，Radware每天检测到超过 2000 个恶意唯一 IP，几乎是前几周的日平均值的 10 倍。

这些恶意机器人中有很大一部分也在端口8080上进行监听。

通过对大约1000个 IP 进行抽样并查询其服务器标头，Radware 发现 95% 的人认为自己在运行“Dasan 网络解决方案”。

这些恶意机器人中有很大一部分也在端口8080上进行监听。

通过对大约1000个 IP 进行抽样并查询其服务器标头，Radware 发现 95% 的人认为自己在运行“Dasan 网络解决方案”。

快速的Shodan搜索显示大约40,000台设备在监听 8080 端口，其中一半以上位于越南，毫不奇怪，有一个名为“Viettell Corporation”的 ISP。