Broadside 威脅分析:針對海事物流的複合式 Mirai 變種
Cydome網路安全團隊的最新研究發現了一種名為「Broadside」的新型Mirai殭屍網路變種的活躍攻擊活動。該活動的目標是海運物流產業,利用了航運公司船舶上使用的TBK DVR(數位錄影機)設備中的漏洞(CVE-2024-3721)。與之前的 Mirai 變種不同,Broadside 採用定制的 C2 協議、獨特的「Magic Header」簽名以及先進的「Judge, Jury, and Executioner」模組,以確保其獨佔性。
這次攻擊活動標誌著 IoT 殭屍網路威脅的進化。傳統 Mirai 變種主要專注於利用預設或弱密碼對設備進行感染,並執行大規模的分散式拒絕服務 (DDoS) 攻擊。然而,Broadside 顯示出更高的攻擊成熟度,不僅將攻擊目標精確鎖定在具有戰略價值的海事物流領域,更在技術實現上採取了多項隱蔽和持久化措施。
威脅行為者的雙重目標與高級技術特徵
至關重要的是,Cydome 指出,威脅不限於拒絕服務攻擊;分析證實,Broadside 會主動嘗試竊取系統憑證文件。這表明其次要目標是提升權限和橫向移動,從而將受感染的設備從簡單的殭屍網路轉變為戰略立足點。
將攻擊目標從單純的 DDoS 轉向憑證竊取與橫向移動,揭示了威脅行為者更深層次的意圖。透過在船舶網路中獲取合法憑證,攻擊者可以從作為簡單 IoT 設備的 DVR,移動到更關鍵的營運技術(OT)或船上 IT 系統,從而執行間諜活動、破壞航行控制,或作為勒索軟體攻擊的初始存取點。
這次攻擊具備多種攻擊能力,包括利用基本有效載荷多態性進行高速率 UDP 泛洪攻擊、透過基於 Netlink 的進程監控實現隱蔽持久化,以及動態終止和將競爭進程列入黑名單。該攻擊還能夠在運行時存取文件,表明攻擊者能夠列舉本機帳戶並驗證權限。
Broadside 的關鍵技術細節:
獨佔性與競爭排除:先進的「Judge, Jury, and Executioner」模組確保 Broadside 在成功感染設備後,能識別、終止並封鎖系統中可能存在的其他競爭性惡意軟體或 Mirai 變種,從而確保對受感染設備的獨佔控制權。
隱蔽持久化:透過基於 Linux 系統內核提供的 Netlink 協議進行進程監控,這種方式比傳統的用戶空間進程監控更為隱蔽,有助於其在受感染系統上長期存留。
定制 C2 協議:目前該攻擊活動仍在進行中,已確認攻擊者使用自訂協定透過 TCP 埠 1026 進行命令與控制通信,並透過 TCP 埠 6969 進行備用通信。使用自定義的命令與控制 (C2) 協議,使得傳統的基於簽名或常見協議模式的網路安全設備難以有效識別和阻止其通信流量。
緩解與防禦策略:保護海事 IoT 系統
面對 Broadside 這種高級複合式威脅,海事物流產業必須採取多層次的網路韌性策略,涵蓋設備、網路和人員三個維度。
建議的緩解措施包括驗證系統是否已更新並打好補丁,以及審查 DVR 系統的使用情況,確保其不會帶來不必要的風險。此外,為了增強防護能力,使用網路偵測與回應(NDR)或擴展偵測與回應(XDR)系統以及防火牆和端點偵測與回應(EDR)解決方案也至關重要。
具體建議如下:
1. 優先修補與資產管理
2. 網路與架構隔離
3. 強化監控與偵測能力
4. 身份與憑證安全
Broadside 突顯了海事工業網路在物聯網時代所面臨的特殊挑戰。由於船隻處於遠程和低帶寬環境,修補和監控難度更高,這使得複合式 IoT 殭屍網路成為對其營運連續性與實體安全的一大威脅。
資料來源:https://industrialcyber.co/transport/cydome-flags-mirai-variant-broadside-targets-maritime-logistics-through-tbk-dvr-devices/
分析 Cydome 網路安全團隊發現的新型 Mirai 殭屍網路變種「Broadside」。該變種鎖定海運物流產業,利用 TBK DVR 設備的已知漏洞 (CVE-2024-3721) 進行大規模感染。報告強調 Broadside 的複合式威脅,其不僅執行高速率 DDoS 攻擊,更採用定制 C2 協議與獨特模組,旨在竊取系統憑證、進行橫向移動,將受感染設備從單純的殭屍網路轉變為戰略立足點。內容涵蓋該威脅的技術特徵、潛在危害,並提供一套針對海事 IoT 環境的緩解與防禦建議。