事件概述

　　奇安信威胁情报中心监测发现，Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机（DVR）设备中的命令注入漏洞，部署名为Nexcorium的新型Mirai僵尸网络变种。

　　该恶意软件具备多架构适配能力，可感染ARM、MIPS R3000及x86-64架构的Linux设备。攻击者通过构建四层持久化机制、集成CVE-2017-17215漏洞利用模块及超长暴力破解字典，形成了一套完整的漏洞利用与横向扩展攻击链条。

　　威胁等级：高（High）

　　技术分析与威胁归因初始访问向量：CVE-2024-3721命令注入漏洞

　　本次攻击的核心入口为CVE-2024-3721（CVSS 3.1评分6.3），这是一个影响TBK DVR-4104和DVR-4216设备的操作系统命令注入漏洞。攻击者通过操纵HTTP请求中的mdb/mdc参数，向设备注入恶意下载器脚本。

　　漏洞利用流程如下：攻击者构造包含恶意载荷的HTTP请求，诱导设备通过wget或curl命令下载名为"dvr"的下载器脚本。该脚本随后从远程服务器获取前缀为"nexuscorp"的恶意二进制样本，根据目标设备的处理器架构自动适配对应版本。

　　FortiGuard Labs安全研究员Vincent Li指出，攻击者采用参数传递的方式绕过设备输入验证，直接在设备操作系统层面执行任意命令。这种攻击手法对固件更新滞后、缺乏安全运维的物联网设备尤为有效。

　　多架构恶意软件架构

　　Nexcorium并非单一二进制文件，而是一套针对不同处理器架构定制的恶意软件家族。安全分析显示，该变种支持以下目标架构：