引發混亂：Condi 惡意軟件控制 TP-Link Wi-Fi 路由器，發起毀滅性的 DDoS 殭屍網絡攻擊

新發現的惡意軟件 Condi 利用 TP-Link Archer AX21 (AX1800) Wi-Fi 路由器中的安全漏洞，已成為重大威脅。其主要目標是利用這些受感染的設備，將它們組裝成強大的分佈式拒絕服務 (DDoS) 殭屍網絡。研究人員注意到，自 2023 年 5 月結束以來，該活動的強度急劇上升。

康迪背後是誰？

Condi 背後的主謀是一個在線綽號zxcr9999的人，他通過 Telegram 頻道 Condi Network 積極宣傳其非法活動。從 2022 年 5 月開始，威脅行為者通過提供 DDoS 即服務，甚至出售惡意軟件的源代碼，通過其殭屍網絡獲利。安全研究人員徹底分析了該惡意軟件，發現其消除同一主機上競爭殭屍網絡的能力。然而，Condi 缺乏持久化機制，導致它無法在系統重啟後繼續存在。

為了克服系統重新啟動後持久性的限制，Condi 通過刪除負責關閉或重新啟動系統的多個二進製文件來採取行動。這些二進製文件包括 /usr/sbin/reboot、/usr/bin/reboot、/usr/sbin/shutdown、/usr/bin/shutdown、/usr/sbin/poweroff、/usr/bin/poweroff、/usr/sbin/暫停和 /usr/bin/halt。值得注意的是，Mirai 殭屍網絡此前曾利用過該目標漏洞。

與其他廣泛傳播的惡意軟件相反，Condi 利用掃描儀模塊來識別易受 CVE-2023-1389 攻擊的 TP-Link Archer AX21 路由器（CVSS 評分：8.8）。 Condi 不像某些殭屍網絡那樣採用暴力攻擊，而是執行從遠程服務器獲取的 shell 腳本，將惡意軟件存放在已識別的設備上。

據安全分析師稱，Condi 的多個實例已經出現，利用各種已知的安全漏洞進行傳播。這表明運行未修補軟件的設備特別容易成為該殭屍網絡惡意軟件的目標。除了積極的貨幣化策略外，Condi 的主要目標是破壞設備並建立強大的 DDoS 殭屍網絡。然後可以將該殭屍網絡出租給其他威脅參與者，使他們能夠對目標網站和服務發起 TCP 和 UDP 洪水攻擊。

中和殭屍網絡對於維護安全穩定的數字生態系統至關重要。殭屍網絡（例如 Condi 惡意軟件）可以利用未修補軟件中的漏洞，並利用受感染設備的網絡進行有害活動，例如 DDoS 攻擊。這些攻擊會破壞在線服務，並嚴重威脅關鍵基礎設施的完整性和可用性。個人、組織和安全專業人員必須保持警惕，保持軟件最新，並採用強大的安全措施來檢測和減輕殭屍網絡威脅。通過積極消除殭屍網絡，我們可以保護我們的數字環境，並為所有用戶打造更安全的在線環境。