Akamai(阿卡邁科技)公司 是 CDN 技術的先驅,當前也是全球CDN服務領域的頂級玩家,其遍佈於全球的服務節點承載著海量的網際網路流量。以往經常受攻擊的是 Akamai 服務的各家客戶,Akamai 為他們抵禦各種攻擊,其抗D能力相當強悍。
但最近奇安信威脅情報中心監測到 Akamai 自己的官方網站( akamai.com )頻繁遭受來Mirai 和 Moobot 家殭屍網路的猛烈攻擊。隨後,我們第一時間向安全社區發佈預警,希望引起國內外安全研究人員對此事件進一步探索與交流:
攻擊分析
第一波攻擊由一個 Mirai 殭屍網路於 2023-02-02 03:17:17 發起,攻擊方式為 UDP Plain Flood,持續不到 1 分鐘。C&C 為 shetoldmeshewas12.uno:38241, C&C 域名當時解析的 IP 地址為 45.12.253.12,該 IP 位於美國。
第二波攻擊由一個 Moobot 殭屍網路發起,於的 2023-02-02 的 03:39, 04:22, 17:02 打出 3 次攻擊,又於 2023-02-03 03:14 開始打出更大的一次攻擊。每次持續數分鐘,攻擊方式都是 UDP Plain Flood。發起這波攻擊的 C&C 為47.87.230.236:6666,IP 同樣位於美國。
Akamai 官方網站的域名解析做了負載均衡,這次受攻擊的目標節點IP有:
– 23[.8.7.213
– 95[.101.127.21
– 2[.20.81.128
– 23[.206.85.57
– 23[.42.231.243
鑑於 Akamai 自身的防護能力,根據我們的觀察,這兩波攻擊對 Akamai 官網的訪問並沒有造成顯著影響。
從我們的視野,無從得知針對 Akamai 官方網站的 DDoS 攻擊背後由何人發起,但或許可以根據關聯線索推測一下。
我們發現 Akamai 官方Twitter這兩天連發兩貼關於俄烏戰爭的分析,重點關注俄方陣營網路攻擊組織 Killnet 針對醫療行業的攻擊活動:
參考受攻擊的時間線,或許 Akamai 官方網站被攻擊是受到了來自親俄組織的報復。
IoCs
C&C:
shetoldmeshewas12.uno:38241
47.87.230.236:6666
點選閱讀原文至ALPHA 6.0
即刻助力威脅研判
