2026-04-21 01:03:26 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Fortinet研究人员发现威胁组织利用TBKDVR中的CVE-2024-3721命令注入漏洞及已停产的TP-Link路由器漏洞，传播名为Nexcorium的Mirai变种恶意软件。该恶意软件支持多架构，通过异或解密配置、集成CVE-2017-17215等漏洞利用程序及弱口令字典进行传播，并采用多种持久化手段。Nexcorium具备典型物联网僵尸网络特征，可发起UDP/TCP泛洪等多种DDoS攻击，并接收C2服务器指令进行自我修复或销毁。 综合评分： 88 文章分类： 恶意软件,漏洞分析,物联网安全,威胁情报,网络安全

cover_image

Nexcorium 版 Mirai 恶意软件利用 TBK DVR 漏洞发起 DDoS 攻击

鹏鹏同学鹏鹏同学

黑猫安全

2026年4月20日 08:52 湖北

在小说阅读器读本章

去阅读

飞塔（Fortinet）研究人员发现，威胁组织正利用 TBK 系列网络硬盘录像机（DVR）中的漏洞，以及已停止支持的 TP-Link 路由器漏洞，传播一款名为Nexcorium的 Mirai 僵尸网络变种。

飞塔发布的报告指出：“物联网设备应用广泛、补丁更新不足，且安全配置普遍薄弱，正日益成为大规模网络攻击的主要目标。威胁组织持续利用已知漏洞获取初始访问权限，并部署可持久驻留、自我传播并发起分布式拒绝服务（DDoS）攻击的恶意软件。FortiGuard 实验室分析了近期一起攻击活动，攻击者利用 TBK DVR 设备中的CVE-2024-3721漏洞，投放一款支持多架构的 Mirai 变种恶意软件 Nexcorium。”

攻击者利用命令注入漏洞 CVE-2024-3721 攻陷设备，将其变为 DDoS 攻击傀儡主机，并针对大量未打补丁或已停止维护的系统快速扩张僵尸网络规模。

攻击者通过构造特定请求参数利用 CVE-2024-3721 漏洞，下发一个下载器脚本。网络流量中包含自定义请求头X-Hacked-By，标注为 “Nexus Team”，这可能指向相关攻击组织，但该团伙目前仍鲜为人知。这个名为dvr的脚本会下载标记为 “nexuscorp” 的恶意程序样本，支持 ARM、MIPS、x86-64 等多种 Linux 架构。

随后脚本为恶意程序赋予完整执行权限并运行载荷，实现跨设备感染，进一步扩大僵尸网络覆盖范围。

对nexuscorp.x86样本的分析显示，Nexcorium 是一款类 Mirai 恶意软件，运行时会显示设备接管提示。它采用异或（XOR）解密方式提取配置信息，包括命令与控制（C2）服务器地址、攻击指令和持久化脚本。与其他 Mirai 变种类似，该恶意软件包含看门狗、扫描器和攻击模块，会进行完整性校验，若发现被篡改可自我修复。

报告补充道：“Nexcorium 的架构与 Mirai 变种高度相似，包括异或加密配置表初始化、看门狗模块和 DDoS 攻击模块。该恶意软件首先通过异或解密提取内置配置，其中包含 C2 服务器域名与端口、持久化相关 Shell 命令、硬编码暴力破解字典、从 C2 服务器获取的 DDoS 攻击指令，以及内置漏洞利用代码。”

Nexcorium 还集成了针对华为设备的 CVE-2017-17215 等漏洞利用程序，并内置大量默认弱口令字典，用于暴力破解 Telnet 远程登录。入侵设备后，它会识别系统架构、执行指令，并将自身复制到系统目录实现持久化驻留。

Nexcorium 通过多种方式维持驻留：修改/etc/inittab实现开机自启、更新/etc/rc.local开机启动项、创建 systemd 服务以及添加定时任务（cron job）。部署完成后，它会删除原始程序文件以规避检测。该恶意软件支持 UDP 泛洪、TCP 泛洪等多种 DDoS 攻击方式，并连接 C2 服务器接收指令，也可根据指令停止攻击或自行销毁。

报告总结：“Nexcorium 具备现代物联网僵尸网络的典型特征，结合漏洞利用、多架构适配和多种持久化手段，实现对受感染设备的长期控制。该恶意软件使用 CVE-2017-17215 等已知漏洞，并具备强大的暴力破解能力，体现出其高度适应性与高效的大范围感染能力。”

该漏洞已在真实攻击活动中被多次滥用。过去一年里，攻击者利用它传播多款僵尸网络程序，包括一款 Mirai 变种、ShadowV2 僵尸网络，以及较新的 RondoDox 僵尸网络。2025 年 9 月，CloudSEK 披露过一个大规模 “加载器即服务” 黑色产业，通过破解弱口令和利用老旧漏洞，向路由器、物联网设备和企业软件推送 RondoDox、Mirai、Morte 等恶意程序。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全鹏鹏同学鹏鹏同学《Nexcorium 版 Mirai 恶意软件利用 TBK DVR 漏洞发起 DDoS 攻击》