Fortinet 旗下的資安專家，近期發現一個稱為 IZ1H9 的 Mirai DDoS 僵屍網路，最近新增了多達 13 種變種，以各廠牌型號基於 Linux 作業系統的路由器產品為目標加以攻擊。

Fortinet 的資安專家發現在 2023 年 9 月的第一周，由 IZ1H9 發動的攻擊次數達到近期的高峰，偵測到針對弱點裝置多達數萬次的攻擊行動。

IZ1H9 的典型攻擊手法是利用各廠牌網通產品的漏洞加以攻擊，植入 Mirai 變種 DDoS 僵屍網路程式，使該裝置成為其攻擊網路的一部分，再針對「租用」其服務的客戶需求，攻擊特定的網路目標。

這次 Fortinet 發現的新變種，分別鎖定攻擊的路由器廠牌與版本，包括 D-Link 多款產品、Netis WF2419、Sunhillo SureLine 8.7.0.1.1 之前版本、Geutebruck 多款產品、Yealink Device Management 3.6.0.20、Zyxel EMG 3525/VGM1312 V5.50 之前版本、TP-Link Archer AX21 (AX1800)、Korenix Jetware wireless AP、TOTOLINK 多款路由器產品等；主要都是透過這些產品已知但未及時更新的漏洞。

1Z1H9 在感染上述廠牌型號的路由器產品後，會先自一個特定 URL 載入名為 l.sh 的指令檔，執行該指令檔後，先行刪除路由器內的 log 檔案，以隱匿入侵行為，然後根據產品型號的不同，下載不同的酬載惡意軟體檔案，之後會修改路由器的 iptables 規則，並且將其連線轉到特定連接埠，以藏匿其連線動作，減少被阻擋的機會。之後該惡意軟體就會連線到其控制伺服器，等待攻擊命令下達後，再發動包括 UDP、UDP Plain、HTTP 泛濫、TCP SYN 等類型的 DDoS 攻擊。