Akamai(阿卡迈科技)公司 是 CDN 技术的先驱,当前也是全球CDN服务领域的顶级玩家,其遍布于全球的服务节点承载着海量的互联网流量。以往经常受攻击的是 Akamai 服务的各家客户,Akamai 为他们抵御各种攻击,其抗D能力相当强悍。
但最近奇安信威胁情报中心监测到 Akamai 自己的官方网站( akamai.com )频繁遭受来Mirai 和 Moobot 家僵尸网络的猛烈攻击。随后,我们第一时间向安全社区发布预警,希望引起国内外安全研究人员对此事件进一步探索与交流:
攻击分析
第一波攻击由一个 Mirai 僵尸网络于北京时间 2023-02-02 03:17:17 发起,攻击方式为 UDP Plain Flood,持续不到 1 分钟。C&C 为 shetoldmeshewas12.uno:38241, C&C 域名当时解析的 IP 地址为 45.12.253.12,该 IP 位于美国。
第二波攻击由一个 Moobot 僵尸网络发起,于北京时间的 2023-02-02 的 03:39, 04:22, 17:02 打出 3 次攻击,又于 2023-02-03 03:14 开始打出更大的一次攻击。每次持续数分钟,攻击方式都是 UDP Plain Flood。发起这波攻击的 C&C 为47.87.230.236:6666,IP 同样位于美国。
Akamai 官方网站的域名解析做了负载均衡,这次受攻击的目标节点IP有:
- 23[.8.7.213
- 95[.101.127.21
- 2[.20.81.128
- 23[.206.85.57
- 23[.42.231.243
鉴于 Akamai 自身的防护能力,根据我们的观察,这两波攻击对 Akamai 官网的访问并没有造成显著影响。
从我们的视野,无从得知针对 Akamai 官方网站的 DDoS 攻击背后由何人发起,但或许可以根据关联线索推测一下。
我们发现 Akamai 官方推特这两天连发两贴关于俄乌战争的分析,重点关注俄方阵营网络攻击组织 Killnet 针对医疗行业的攻击活动:
参考受攻击的时间线,或许 Akamai 官方网站被攻击是受到了来自亲俄组织的报复。
IoCs
C&C:
shetoldmeshewas12.uno:38241
47.87.230.236:6666
点击阅读原文至ALPHA 6.0
即刻助力威胁研判