• 發布單位:TWCERT/CC
• 更新日期:2026-03-30
• 點閱次數:148

資安研究團隊 Black Lotus Labs 近期發現一款名為「KadNap」的新型惡意軟體，該威脅自2025年8月起活躍，主要針對多家知名品牌邊緣網路設備(edge device)與家用(SOHO)路由器進行攻擊。遭感染的設備會被納入殭屍網路，並成為非法代理服務「Doppelganger」的一部分，供網路犯罪者利用。目前全球估計超過14,000台設備受害，受影響地區主要集中於美國(60%)，台灣、香港與俄羅斯亦有約5%的感染比例。

根據分析報告，KadNap展現高度隱匿性與技術性。攻擊者首先從IP位址為212.104.140[.]140的伺服器下載名為「aic.sh」的惡意腳本並透過建立排程任務（cron job）每小時定期執行以確保持續性。隨後下載名為「kad」的惡意執行檔部署惡意軟體，該惡意軟體會強制關閉標準的SSH連接埠（Port 22）以防範外部管理介入並強化控制權。

KadNap採用客製化的Kademlia 分散式雜湊表（DHT）協定，這種點對點（P2P）技術能將指令與控制（C2）伺服器的 IP 位址隱藏在正常的 P2P 網路流量中，從而規避傳統的網路監控，大幅增加資安人員偵測與阻斷的難度。然而，資安專家發現，該軟體在連線到C2伺服器前會經過特定跳板節點(45.135.180[.]38 與 45.135.180[.]177)，此資訊可用於防火牆阻斷參考。

為防範邊緣網路設備與路由器遭KadNap或類似惡意軟體攻擊，建議採取以下防護措施：

• 定期更新韌體：確保路由器韌體維持在最新版本，以修補已知的安全漏洞。
• 強化帳號管理：切勿使用出廠預設密碼，應設定具備高強度(結合大小寫字母、數字與符號)的複雜密碼。
• 關閉遠端管理功能：確保路由器的管理介面(Web UI)未暴露於公開網路，關閉不必要的WAN端存取權限。
• 汰換過時設備：若設備已達生命週期終點(End-of-Life, EOL)，原廠不再提供安全更新與技術支援，請務必更換為受支援的設備。

以下是由資安研究團隊 Black Lotus Labs所提供的IoC：

85[.]158[.]111[.]100

89[.]46[.]38[.]74

154[.]7[.]253[.]12

212[.]104[.]141[.]88

91[.]193[.]19[.]226

79[.]141[.]161[.]152

91[.]193[.]19[.]51

79[.]141[.]163[.]155

23[.]227[.]203[.]221

45[.]135[.]180[.]38

45[.]135[.]180[.]177

0b3dbb951de7a216dd5032d783ba7d0a5ecda2bf872643c3a4ddd1667fb38ffe

ebf9de6b67e94b2bd2b0dcda1941e04fef1a1dad830404813e468ab8744b7ed8