• 發布單位:TWCERT/CC
• 更新日期:2023-11-17
• 點閱次數:129

資安廠商 ESET 日前發表研究報告指出，一個名為 Mozi 的惡意軟體僵屍網路，在今年 8 月時突然大幅減少惡意攻擊活動；在 9 月底時更有一不明酬載上傳，因而全面停擺。

Mozi 是一個知名的分散式阻斷服務攻擊（Distributed Denial of Service, DDoS）惡意軟體僵屍網路，2019 年開始其攻擊行動，主要攻擊目標是各種 IoT 裝置，例如網路路由器、數位攝影機等各種聯網裝置。

Mozi 的典型進攻方式，是利用各種 IoT 設備的資安弱點，例如使用預設登入帳號密碼、未經修補的已知資安漏洞等等，來植入惡意軟體，使裝置成為點對點（peer to peer）僵屍網路的節點之一，再透過 BitTorrent 的 DHT 協定來協同，對特定目標發動 DDoS 攻擊用封包。

據 ESET 的報告指出，Mozi 的活動於 2023 年 8 月 8 日起開始大幅減少，首先是停止了其在印度的所有攻擊活動，之後於 8 月 16 日也停止了在中國的所有攻擊活動；最後在 9 月 27 日時，有一個 UDP 訊息發送給所有的 Mozi 僵屍網路節點，要求節點透過 HTTP 下載一個更新檔，結果造成整個 Mozi 惡意軟體活動的全面停止。

該更新檔甚至也停用了部分受植入裝置的系統服務、阻擋部分連接埠等。

ESET 分析該更新檔後指出，更新檔雖然停止了 Mozi 的攻擊活動，但並沒有完全刪除該惡意軟體，而且遭感染的裝置仍可對遠端伺服器執行 ping，以確認裝置中的 Mozi 惡意軟體仍可接受操控；這表示本次停止活動是受到刻意監控下進行的。

建議各種 IoT 設備的使用者與管理人員，應在有資安更新可用時立即套用更新，並且避免使用預設登入帳號密碼；未使用的連接埠也應全面關閉。