据观察，多个分布式拒绝服务 (DDoS) 僵尸网络利用 2023 年 4 月曝光的 Zyxel 合勤科技设备中的一个关键缺陷来远程控制易受攻击的系统。

“通过捕获漏洞流量，识别出了攻击者的IP地址，并确定攻击发生在多个地区，包括中美洲、北美、东亚和南亚，”Fortinet FortiGuard Labs研究员Cara Lin表示。

该缺陷被追踪为 CVE-2023-28771（CVSS 评分：9.8），是一个影响多个防火墙模型的命令注入错误，可能允许未经授权的攻击者通过向目标设备发送特制数据包来执行任意代码。

上个月，Shadowserver 基金会警告称，至少从 2023 年 5 月 26 日起，该缺陷就被“积极利用来构建类似 Mirai 的僵尸网络”，这表明滥用运行未修补软件的服务器的情况正在增加。

Fortinet 的最新发现表明，多个参与者机会主义地利用这一缺陷来破坏易受影响的主机，并将它们限制在能够对其他目标发起 DDoS 攻击的僵尸网络中。

这包括Mirai 僵尸网络变体，例如 Dark.IoT 和另一个被其作者称为 Katana 的僵尸网络，该僵尸网络具有使用 TCP 和 UDP 协议发起 DDoS 攻击的功能。

Lin 表示：“看来该活动利用了多台服务器发起攻击，并在几天内进行了自我更新，以最大程度地损害合勤科技设备。”

此次披露之际，Cloudflare 报告称，2023年第二季度“DDoS 攻击的复杂程度令人震惊地升级”，威胁行为者通过“巧妙模仿浏览器行为”并保持每秒相对较低的攻击率，设计出新颖的方法来逃避检测。

更复杂的是，使用 DNS 洗钱攻击通过信誉良好的递归 DNS 解析器和虚拟机僵尸网络来隐藏恶意流量，从而精心策划超容量 DDoS 攻击。

Cloudflare 解释说：“在 DNS 洗钱攻击中，威胁行为者将查询受害者 DNS 服务器管理的域的子域。” “定义子域的前缀是随机的，并且在此类攻击中使用的次数不会超过一次或两次。”

“由于随机化因素，递归 DNS 服务器永远不会缓存响应，并且需要将查询转发到受害者的权威 DNS 服务器。权威 DNS 服务器随后会受到大量查询的轰炸，直到无法提供合法查询，甚至完全崩溃。”