Aqua Nautilus研究人员发现了一个由Matrix发起的一系列大规模DDoS攻击活动，该活动可能是俄罗斯威胁行为者发起的。了解所利用的漏洞、所使用的技术以及对全球企业的可能影响。

Aqua Nautilus的网络安全研究人员发现了一个名为Matrix的威胁行为者发起的 新型分布式拒绝服务(DDoS)活动，利用现成的工具和最低限度的技术专长。

根据Aqua Nautilus分享的调查结果，Matrix（研究人员将其称为脚本小子）的目标是庞大的互联网连接设备网络，包括物联网设备、摄像头、路由器、DVR和企业系统，这标志着DDoS攻击重点的转变。

攻击者使用不同的技术，映射到MITRE ATT&CK框架，主要依靠暴力攻击，利用弱默认凭据和错误配置来获取初始访问权限。

一旦被入侵，设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。

根据Aqua Nautilus的博客文章，尽管最初有迹象表明该攻击与俄罗斯有关，但乌克兰目标的缺失表明该攻击主要关注的是经济利益，而非政治目的。Matrix创建了一个Telegram机器人Kraken Autobuy，以销售针对第4层（传输层）和第7层（应用层）攻击的DDoS攻击服务，进一步强调了该攻击活动的商业化。

该活动利用了近期和之前的一系列漏洞，其中包括：
1. CVE-2014-8361
2. CVE-2017-17215
3. CVE-2018-10562
4. CVE-2022-30525
5. CVE-2024-27348
6. CVE-2018-10561
7. CVE-2018-9995
8. CVE-2018-9995
9. CVE-2017-18368
10. CVE-2017-17106

这些漏洞与广泛使用的弱凭证相结合，为恶意行为者创造了巨大的攻击面。大多数活动（约95%）发生在工作日，这表明需要采取更结构化的方法

Matrix使用GitHub帐户来存储和管理恶意工具和脚本，主要用Python、Shell和Golang编写。

研究人员指出：“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件（主要是Mirai和其他DDoS相关工具）的工具。”

另一方面，Virus Total发现了用于发起DDoS攻击的各种工具，包括DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack和Homo Network。这些工具可用于控制受感染的设备、针对选定目标发起大规模DDoS攻击，以及利用Discord进行通信和远程控制。

此次攻击活动的潜在影响十分巨大，数百万台联网设备可能面临攻击风险。研究人员指出：“近3500万台设备存在风险。如果1%的设备受到攻击，僵尸网络可能覆盖35万台设备；如果5%的设备受到攻击，僵尸网络可能覆盖170万台设备，与过去发生的重大攻击不相上下。”

主要影响是服务器拒绝服务，扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用，影响依赖它们的企业。观察到针对ZEPHYR的有限加密货币挖掘操作，产生的经济收益微乎其微。

为了保证安全，组织应该优先考虑强有力的安全实践，如定期修补、强密码策略、网络分段、入侵检测系统、Web应用程序防火墙和定期安全审核，以减少遭受DDoS攻击和其他网络威胁的风险。