شرکت Akamai که اولین بار در اواخر مارس ۲۰۲۵ این تلاشهای سوءاستفاده را کشف کرد، اعلام کرد که کمپین مخرب CVE-2025-24016 را هدف قرار میدهد. این آسیبپذیری با امتیاز CVSS برابر ۹.۹، یک نقص deserialization ناامن است که امکان اجرای کد از راه دور را در سرورهای Wazuh فراهم میکند.
این نقص امنیتی که تمام نسخههای نرمافزار سرور از ۴.۴.۰ به بالا را تحت تأثیر قرار میدهد، در فوریه ۲۰۲۵ با انتشار نسخه ۴.۹.۱ برطرف شد. یک اثبات مفهوم (PoC) برای این آسیبپذیری تقریباً همزمان با انتشار وصلهها منتشر شد.
مشکل در API Wazuh ریشه دارد، جایی که پارامترها در DistributedAPI به صورت JSON سریالسازی و با استفاده از “as_wazuh_object” در فایل framework/wazuh/core/cluster/common.py غیرسریالسازی میشوند. مهاجمان میتوانند با تزریق بارهای JSON مخرب، کد Python دلخواه را از راه دور اجرا کنند.
شرکت زیرساخت وب اعلام کرد که تنها چند هفته پس از افشای عمومی این نقص و انتشار PoC، تلاشهای دو باتنت مختلف برای سوءاستفاده از CVE-2025-24016 را کشف کرد. این حملات در اوایل مارس و می ۲۰۲۵ ثبت شدند.
محققان امنیتی Kyle Lefton و Daniel Messing گفتند: “این جدیدترین نمونه از کاهش مداوم زمان سوءاستفاده است که اپراتورهای باتنت برای CVEهای تازه منتشر شده اتخاذ کردهاند.”
در اولین مورد، سوءاستفاده موفق راه را برای اجرای یک اسکریپت shell هموار میکند که به عنوان دانلودکننده برای بار مخرب باتنت Mirai از یک سرور خارجی (“176.65.134[.]62”) برای معماریهای مختلف عمل میکند. ارزیابی شده که نمونههای بدافزار، انواعی از LZRD Mirai هستند که از سال ۲۰۲۳ وجود داشتهاند.
قابل ذکر است که LZRD اخیراً در حملاتی که از دستگاههای اینترنت اشیا (IoT) پایان عمر GeoVision سوءاستفاده میکردند نیز استفاده شد. با این حال، Akamai اعلام کرد که شواهدی دال بر اینکه این دو خوشه فعالیت کار یک مهاجم باشد وجود ندارد، زیرا LZRD توسط اپراتورهای باتنت متعددی استفاده میشود.
تحلیل بیشتر زیرساخت “176.65.134[.]62” و دامنههای مرتبط با آن منجر به کشف نسخههای دیگر باتنت Mirai شد، از جمله انواع LZRD با نامهای “neon” و “vision” و نسخه بهروز شده V3G4.
برخی از آسیبپذیریهای امنیتی دیگر که توسط این باتنت مورد سوءاستفاده قرار گرفتهاند شامل نقصهایی در Hadoop YARN، TP-Link Archer AX21 (CVE-2023-1389) و یک باگ اجرای کد از راه دور در روترهای ZTE ZXV10 H108L است.
دومین باتنت که از CVE-2025-24016 سوءاستفاده میکند، از استراتژی مشابهی استفاده میکند و از یک اسکریپت shell مخرب برای ارائه نوع دیگری از باتنت Mirai به نام Resbot (معروف به Resentual) استفاده میکند.
محققان گفتند: “یکی از موارد جالبی که متوجه شدیم، زبان مرتبط با این باتنت بود. از دامنههای مختلفی برای انتشار بدافزار استفاده میکرد که همگی نامگذاری ایتالیایی داشتند. این قراردادهای نامگذاری زبانی میتواند نشاندهنده کمپینی برای هدف قرار دادن دستگاههای متعلق به کاربران ایتالیاییزبان باشد.”
علاوه بر تلاش برای انتشار از طریق FTP در پورت ۲۱ و انجام اسکن telnet، مشخص شده که این باتنت از طیف گستردهای از اکسپلویتها استفاده میکند که روتر Huawei HG532 (CVE-2017-17215)، Realtek SDK (CVE-2014-8361) و روتر TrueOnline ZyXEL P660HN-T v1 (CVE-2017-18368) را هدف قرار میدهند.
محققان گفتند: “انتشار Mirai نسبتاً بدون وقفه ادامه دارد، زیرا استفاده مجدد از کد منبع قدیمی برای راهاندازی یا ایجاد باتنتهای جدید همچنان نسبتاً ساده است. اپراتورهای باتنت اغلب میتوانند با استفاده از اکسپلویتهای تازه منتشر شده به موفقیت دست یابند.”
CVE-2025-24016 تنها آسیبپذیری نیست که توسط انواع باتنت Mirai مورد سوءاستفاده قرار میگیرد. در حملات اخیر، مهاجمان از CVE-2024-3721، یک آسیبپذیری تزریق دستور با شدت متوسط که دستگاههای ضبط ویدیوی دیجیتال TBK DVR-4104 و DVR-4216 را تحت تأثیر قرار میدهد، برای جذب آنها به باتنت استفاده کردهاند.
از این آسیبپذیری برای اجرای یک اسکریپت shell استفاده میشود که مسئول دانلود باتنت Mirai از یک سرور راه دور (“42.112.26[.]36”) و اجرای آن است، اما نه قبل از بررسی اینکه آیا در حال حاضر در یک ماشین مجازی یا QEMU در حال اجرا است یا خیر.
شرکت امنیت سایبری روسی Kaspersky گفت که آلودگیها در چین، هند، مصر، اوکراین، روسیه، ترکیه و برزیل متمرکز شدهاند و افزود که بیش از ۵۰ هزار دستگاه DVR در معرض خطر را به صورت آنلاین شناسایی کرده است.
محقق امنیتی Anderson Leite گفت: “سوءاستفاده از نقصهای امنیتی شناخته شده در دستگاههای IoT و سرورهایی که وصله نشدهاند، همراه با استفاده گسترده از بدافزارهایی که سیستمهای مبتنی بر لینوکس را هدف قرار میدهند، منجر به تعداد قابل توجهی از باتها میشود که دائماً اینترنت را برای یافتن دستگاههایی برای آلوده کردن جستجو میکنند.”
این افشاگری در حالی صورت میگیرد که چین، هند، تایوان، سنگاپور، ژاپن، مالزی، هنگ کنگ، اندونزی، کره جنوبی و بنگلادش به عنوان کشورهای بیشترین هدف در منطقه آسیا-اقیانوسیه در سه ماهه اول ۲۰۲۵ ظاهر شدهاند.
شرکت StormWall گفت: “حملات API flood و carpet bombing سریعتر از حملات حجمی سنتی TCP/UDP رشد میکنند و شرکتها را وادار به اتخاذ دفاعهای هوشمندتر و انعطافپذیرتر میکنند. در عین حال، افزایش تنشهای ژئوپلیتیکی باعث افزایش حملات به سیستمهای دولتی و تایوان میشود که نشاندهنده افزایش فعالیت هکتیویستها و بازیگران تهدید حمایتشده توسط دولت است.”
همچنین پس از هشدار اداره تحقیقات فدرال آمریکا (FBI) مبنی بر اینکه باتنت BADBOX 2.0 میلیونها دستگاه متصل به اینترنت را آلوده کرده است که بیشتر آنها در چین تولید شدهاند، صورت میگیرد تا آنها را به پروکسیهای مسکونی برای تسهیل فعالیتهای مجرمانه تبدیل کند.
FBI گفت: “مجرمان سایبری با پیکربندی محصول با نرمافزار مخرب قبل از خرید کاربر یا آلوده کردن دستگاه هنگام دانلود برنامههای مورد نیاز که حاوی درهای پشتی هستند، معمولاً در طول فرآیند راهاندازی، دسترسی غیرمجاز به شبکههای خانگی به دست میآورند. باتنت BADBOX 2.0 از میلیونها دستگاه آلوده تشکیل شده و درهای پشتی متعددی را برای خدمات پروکسی نگه میدارد که بازیگران مجرم سایبری با فروش یا ارائه دسترسی رایگان به شبکههای خانگی به خطر افتاده برای استفاده در فعالیتهای مجرمانه مختلف از آنها سوءاستفاده میکنند.”
کلمات کلیدی : آسیبپذیری امنیتی Wazuh, باتنت Mirai, حملات DDoS, CVE-2025-24016, اجرای کد از راه دور, دستگاههای IoT
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.