thatboringbro/threat-intel-misp

# Nexus Zeta：威胁情报与攻击者画像 ## 执行摘要 本项目记录了对 **Nexus Zeta**（一个专门从事大规模物联网设备入侵的威胁行为者）的全面调查。我的分析发现了位于 **荷兰** 的活跃基础设施，该基础设施通过一个复杂版本的 **"Masuta"** 恶意软件与数千台受感染设备进行通信。该行为者针对常见路由器软件中的漏洞（特别是 **D-Link HNAP/SOAP** 协议）进行攻击，可在数秒内感染设备。 ## 技术分析与情报收集 ### 1. MISP 集成 在本调查中使用了一个通过 **Docker** 部署的 **MISP（恶意软件信息共享平台）** 实例来收集、存储和关联威胁情报。 * **数据丰富**：启用了内置订阅源，以缓存元数据并使用 Tenable 订阅源（CIRCL 等）中的 UUID 提取指标。 * **关联**：MISP 事件 1316 将 Nexus Zeta 的 IOC 与已知的 Mirai 变体（如 **Satori** 和 **PureMasuta**）进行直接关联。 ### 2. 基础设施摘要 | 类型 | 值 | 用途 | 置信度 | | :--- | :--- | :--- | :--- | | **C2 服务器 IP** | `93.174.93.63` | 僵尸网络命令与控制 | 高 | | **C2 域名** | `nexusiotsolutions.net` | 主要 C2 域名 | 高 | | **邮箱** | `nexuszeta1337@gmail.com` | 域名注册联系人 | 高 | ### 3. 威胁行为者画像 * **身份**：Kenneth Currin Schuchman（又名 Nexus Zeta）。 * **来源**：美国华盛顿州温哥华。 * **动机**：通过 DDoS 出租服务和加密货币挖矿获利。 * **演变**：从 Satori（基于 Mirai）过渡到 Masuta，从 Telnet 暴力破解转向基于漏洞利用的感染。 * **技术水平**：脚本小子（业余爱好者），因为严重依赖泄露的 Mirai 源代码。 ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | 应用 | | :--- | :--- | :--- | :--- | | **初始访问** | 利用面向公众的应用程序 | **T1190** | 针对 **CVE-2017-17215**（华为）和 **CVE-2014-8361**（Realtek）。 | | **执行** | 利用客户端执行 | **T1203** | 恶意 SOAP 命令在路由器处理器上触发远程代码执行。 | | **持久性** | 启动/登录初始化脚本 | **T1037** | 恶意软件作为 `/bin/busybox MASUTA` 嵌入设备内存。 | | **影响** | 网络拒绝服务 | **T1498** | 核心 DDoS 出租服务，使用 UDP/TCP 洪水攻击命令。 | ## 建议的缓解措施 ### 网络层面（立即） * **封禁列表**：在边界防火墙上封禁主要 C2 IP（`93.174.93.63`、`185.244.25.162`）和 `nexusiotsolutions.net` 域名。 * **出站过滤**：阻止到端口 **8080** 的出站连接以破坏 C2 通信。 ### 设备层面（物联网/路由器） * **服务管理**：禁用不必要的 SOAP 服务和 Telnet。 * **固件**：定期应用更新以修补 **CVE-2017-17215** 和 **CVE-2018-1000049**。 ### 图片 本项目的截图可在 `/images` 文件夹中找到。 ### 联系方式： X (Twitter)：https://x.com/thatboringbro

标签：APT分析, C2服务器, CISA项目, DAST, DDoS攻击, D-Link, HNAP/SOAP, IOC, IP 地址批量处理, masscan, Masuta, Mirai, 僵尸网络, 关键基础设施, 加密货币挖矿, 域名收集, 威胁情报, 威胁情报平台, 开发者工具, 恶意软件分析, 政府机构安全, 欧洲网络攻击, 物联网安全, 网络信息收集, 网络安全, 请求拦截, 路由器漏洞, 隐私保护