andromeda1

欧洲刑警组织联合微软、ESET 等公司取缔 “Andromeda” (仙女座)大型僵尸网络

  • 浏览次数 5759
  • 喜欢 1
  • 评分 12345

据外媒报道,联邦调查局、欧洲执法机构和私营部门(例如:微软、ESET 等)于 11 月 29 日联合开展的一项国际行动,成功移除 Andromeda(又名 Gamarue 或 Wauchos)僵尸网络。 据悉,网络犯罪分子使用僵尸网络发送垃圾邮件、感染目标用户 、同时还向已感染用户二次传播恶意软件,甚至通过将僵尸网络租借给其他不法人群牟取暴利。 

andromeda

调查显示,相关执法机构移除了多款由黑客组织长期运营的僵尸网络,其多数由安全公司 ESET 检测为 Win32 / TrojanDownloader.Wauchos 。此外安全专家还跟踪了恶意基础设施,确定了他们的 C&C 服务器地址以及僵尸网络可能造成的潜在威胁。统计显示,其中包括 : 464 个不同的僵尸网络、80 个相关联的恶意软件系列、1214 个域名和 IP 地址的僵尸网络 C&C 服务器。

Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。犯罪分子使用它来发布多个恶意软件系列,其中包括 Dridex 银行木马病毒和 GamaPoS 恶意软件等。据微软收集的遥测数据显示,在过去的六个月中,Andromeda 僵尸网络向受害用户提供了80 种不同的恶意软件,并且每月平均有 110 万台电脑收到僵尸网络 Andromeda 影响。

andromeda-botnets

知情人士透露,Andromeda 被移除并非偶然,这要归功于去年移除了一个名为“ 雪崩 ”(Avalanche)的大型犯罪网络,该网络是一个用于驱动大规模全球恶意软件攻击和资金招募的基础设施,托管了 21 个恶意软件家族的分发基础设施(其中包括 Andromeda )。为了方便监视 Andromeda 和搜集数据,在去年新闻发布中当局并没有透露跟有关 Andromeda 僵尸网络在 Avalanche 事件上的任何细节。

欧洲刑警组织发表的报告显示,德国检察署 Verden 和 Luneburg 警方、美国宾夕法尼亚州西区检察官办公室、司法部、联邦调查局、欧洲刑警组织、欧洲司法组织和全球合作伙伴于 2016 年 11 月 30 日成功拆除了 Avalanche 的国际犯罪基础设施。这些组织被用作一个平台来管理大规模的恶意软件攻击,比如 Andromeda 和资金招募活动。

据称,欧洲刑警不仅通过已收集的数据成功逮捕了一名疑似 Andromeda 开发人员的白俄罗斯男子,还利用一年前关闭的 Avalanche 平台使用的 1500 个域名,通过 sinkholing 技术分析其流量并跟踪受感染的系统。据透露,在 48 小时的检测后,专家们观察到来自 223 个国家的约 200 万个 Andromeda 僵尸网络受害用户的 IP 地址。随后,因为最初受感染的计算机中仍有 55%  的系统继续被感染,所以调查人员将分析跟踪 Avalanche 的时间延长了一年。根据调查,英国、白俄罗斯、新加坡、中国台湾等国家/地区普遍遭到 Andromeda 和 Avalanche 僵尸网络的影响。

欧洲刑警组织欧洲网络犯罪中心负责人史蒂芬•威尔逊(Steven Wilson)表示,这是国际执法部门与行业合作伙伴处理重要的网络犯罪分子与其在全球范围内分发恶意软件感染专用基础设施的典型例子,由此可见,公私合作伙伴关系有效的打击了网络犯罪分子的恶意行为,并为用户提供更安全的网络。

更多阅读:

来自 ESET 公司的分析文章:https://www.welivesecurity.com/2017/12/04/eset-takes-part-global-operation-disrupt-gamarue

消息来源:Security AffairsBleeping Computer,编译:榆榆

本文由 HackerNews.cc 翻译整理,封面来源于网络。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot