Fortinet的安全專家發現了一種新的變體Mirai僵尸網絡，稱為“Wicked Mirai”，它包括新的漏洞同時傳播一個新的僵尸程序。

Wicked Mirai這個名字來自代碼中的字符串，專家發現，與原始版本相比，這個新變種至少包含三個新的漏洞。由于兩年前公布了源代碼，FortiGuard實驗室的團隊看到了越來越多的Mirai變體。
“一些做了重大的修改，例如增加了將受感染的設備變成惡意軟件代理 和 密碼器群的 功能。其他人則將Mirai代碼與多種針對已知和未知漏洞的漏洞整合在一起 ，類似于最近由FortiGuard實驗室發現的新變種，我們現在稱其為WICKED。”

Mirai 僵尸網絡第一次發現2016年，MalwareMustdie的專家們用它在野外發動了大規模的DDoS攻擊。Mirai的源代碼是2016年10月在網上泄露，很快便出現了許多其他變體，包括 Satori,  Masuta，和Okiru。
據Fortinet說，“Wicked Mirai”的作者和其他變體很可能是同一個人。Mirai僵尸網絡通常由三個主要模塊組成：攻擊、殺手和掃描儀。Fortinet將其分析集中在負責傳播惡意軟件的Scaner模塊上。
最初的Mirai試圖強行破壞其他IOT設備，而Wicked Mirai使用已知的漏洞。Wicked Mirai將通過啟動物聯網設備的原始套接字SYN連接掃描端口8080、8443、80和81。一旦建立了連接，僵尸程序將嘗試利用該設備并通過將攻擊字符串寫入套接字來下載攻擊載荷。
專家們發現，要使用的漏洞取決于僵尸程序能夠連接到的特定端口。在Wicked Mirai的目標設備列表下面：
8080端口：NETGEAR DGN1000和DGN2200 v1路由器(也被死神僵尸網絡使用))
81 端口：CCTV-DVR遠程代碼執行
8443端口：NETGEAR R7000和R6400命令注入(CVE-2016-6277)
80端口：受威脅的Web服務器中的調用程序外殼
對代碼的分析揭示了String SoraLOADER的存在，這表明它可能試圖分發Sora僵尸網絡。進一步的調查讓研究人員反駁了這一假設，并證實機器人實際上會連接到惡意域名下載OwariMirai機器人。
成功利用該漏洞后，此僵尸程序將從惡意站點下載其有效負載。這種情況下， hxxp://185[.]246[.]152[.]173/exploit/owari.{extension}。這使得它很明顯地想要下載另一個Mirai變體Owari bot，而不是先前暗示的那個。
然而，在分析時，在網站目錄中找不到Owari bot樣本。在另一輪事件中，它們被下面所示的示例所取代，這些樣本后來被發現是Omni bot。
對該網站 /bins 目錄的分析顯示了其他Omni樣本，這些樣本顯然是使用GPON提供的漏洞CVE-2018-10561。

Fortinet的安全研究人員在尋找Wicked，Sora，Owari和Omni之間的聯系時，發現了一個對Owari/Sora IoT的僵尸網絡作者的采訪。
采訪中透露，作者拋棄了Sora 和Owari的僵尸程序，他目前正在從事Omni項目。
“根據作者在上述訪談中就同一主機上的不同僵尸網絡所作的陳述，我們可以從根本上確認僵尸網絡Wicked、Sora、Owari和Omni 的作者是同一個人。這也使我們得出結論，雖然Wicked bot 最初是為了交付Sora僵尸網絡，但后來它被重新用于為作者的后續項目服務，”Fortinet總結道。