CSTIS：关于防范Morte僵尸网络的风险提示

近日，工信部网络安全威胁与漏洞信息共享平台（CSTIS）发现Morte僵尸网络持续活跃。其主要攻击目标是SOHO路由器、物联网设备以及Oracle WebLogic、WordPress、vBulletin等企业应用，可能导致数据泄露、系统控制、业务中断等风险。

Morte 僵尸网络是一种依赖“加载程序即服务(LaaS)”模型的网络安全威胁，并且已活跃至少6 个月。僵尸网络主要通过三种方式入侵目标：一是Web界面命令注入。攻击者滥用未经过滤的POST 参数，如ntp、syslog、主机名等来执行wget/curl | sh 和其他恶意shell 命令；第二种是暴力破解或凭据喷洒设备的默认凭据（例如admin:admin）；三是利用已知漏洞，包括CVE-2019-16759（vBulletin预认证RCE）、CVE-2019-17574（WordPress Popup Maker插件漏洞）等。攻击者在入侵目标系统后，首先释放一个小shell脚本作为dropper（滴管，一种轻量级、隐蔽性的恶意脚本或程序，作为初始跳板，秘密部署后续恶意负载），然后安装跨架构原生二进制文件（如morte.x86、morte.x86_64），使用BusyBox工具实现多平台兼容，并利用计划任务、进程注入等技术实现对目标系统的长期控制。最后，部署加密货币挖矿模块（如基于JSON-RPC协议的eth_getWork），劫持设备的CPU/GPU资源进行加密货币挖矿。此外，Morte 支持HTTP C2 轮询，在数十个IP 之间轮换基础设施以逃避跟踪。攻击者可以利用它来执行DDoS 攻击、数据盗窃、将受感染设备的访问权转售给黑市，或进一步横向渗透以扩大威胁。

建议有关单位和用户立即组织排查，修复相关设备和应用程序的安全漏洞，禁用默认登录凭证，关闭不必要的路由器诊断页面，更新杀毒软件，实施全面查毒，定期备份数据，防范网络攻击风险。

文章来源：网络安全威胁与漏洞信息共享平台