标签: 僵尸网络

微软发现:新的攻击手段已影响全球不同类型物联网设备一年之久

新发现的Zerobot僵尸网络继续发展,越来越多地针对连接设备。 根据微软发布的一份报告显示,最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力,将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。 Zerobot 影响各种设备,包括防火墙设备、路由器和摄像头,将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块,该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备,找到要感染的其他设备,实现持久性并攻击一系列协议。Microsoft 将此活动跟踪为 DEV-1061。 Zerobot 的最新发行版包括其他功能,例如利用 Apache 和 Apache Spark 中的漏洞(分别为 CVE-2021-42013 和 CVE-2022-33891),以及新的 DDoS 攻击功能。 Microsoft 使用 DEV-#### 名称作为未知、新兴或发展中的威胁活动集群的临时名称,允许 Microsoft 将其作为一组独特的信息进行跟踪,直到对威胁的来源或身份达到高度信任为止活动背后的参与者。一旦满足定义的标准,DEV 组就会转换为指定的参与者。 据微软称,这种恶意软件主要通过未打补丁和保护不当的物联网设备传播,如防火墙、路由器和摄像头。黑客不断修改僵尸网络,以扩大和发现尽可能多的设备。 微软发现了Zerobot滥用的7个新漏洞,此外还有21个漏洞,如本月早些时候由Fortinet发现的Spring4Shell和F5 Big。   Zerobot 1.1 包含的几个新漏洞(不完全) Zerobot的升级版利用了Apache web服务器软件、Apache Spark数据处理引擎和通信设备制造商Grandstream等公司的漏洞。 更新后的恶意软件还具有七种新的DDoS功能。根据微软的说法,成功的DDoS攻击可能会被威胁行为者用来勒索赎金,分散其他恶意活动的注意力,或破坏运营。   之前已知的 Zerobot 功能   以前未公开的新功能 Zerobot是用Go编程语言编写的,主要影响Linux设备。微软声称发现了几个可以在Windows上运行的恶意软件样本。在Windows电脑上,恶意软件会将自己复制到名为FireWall.exe的启动文件夹中。 微软研究人员发现其中一个样本基于跨平台(Linux、Windows、macOS)开源远程管理工具(RAT),具有管理进程、文件操作、屏幕截图和运行命令等多种功能。该工具是通过调查恶意软件使用的命令和控制 (C2) IP 发现的。用于下载此 RAT 的脚本称为impst.sh: 用于下载远程管理工具的impst.sh脚本 Zerobot针对使用默认或弱凭据的不安全配置的物联网设备。恶意软件可能会试图通过使用8个常用用户名和130个密码的组合来获得设备访问权限。一旦获得对设备的访问权,Zerobot就会注入恶意有效载荷,下载并试图执行僵尸网络。 恶意软件在Linux和Windows上有不同的持久机制。黑客使用持久性策略来保持对设备的访问,并在未来寻找其他暴露在互联网上的设备进行感染。 当用户愿意付费发动DDoS攻击时,它就会作为恶意软件即服务方案的一部分提供。微软表示,购买Zerobot恶意软件的黑客可以根据目标修改攻击。 微软表示,恶意软件即服务的“商业模式”使网络攻击工业化,使威胁行为者更容易购买恶意软件,并保持对受损网络的访问。 研究人员在各种社交媒体网络上追踪了Zerobot僵尸网络的广告。去年12月,FBI查获了48个与DDoS-for-hire服务有关的域名,其中一个与Zerobot有链接。   转自 E安全,原文链接:https://mp.weixin.qq.com/s/t98vqpf97Rb0eXXwje58sw 封面来源于网络,如有侵权请联系删除

新的 GoTrim 僵尸网络试图入侵 WordPress 网站的管理员帐户

一个新的基于 Go 的僵尸网络被发现使用 WordPress 内容管理系统 (CMS) 扫描和暴力破解自托管网站,以夺取对目标系统的控制权。 这个新的暴力破解程序我们命名为 GoTrim ,因为它是用 Go 编写的,并使用‘:::trim:::’来拆分与 C2 服务器通信的数据。 自 2022 年 9 月就有发现其利用机器人网络执行分布式暴力攻击,试图登录目标 Web 服务器。成功入侵后,攻击者会在新受感染的主机中安装下载器 PHP 脚本,而该脚本旨在从硬编码 URL 部署“bot 客户端”,有效地将机器添加到不断增长的网络中。 就目前来看,GoTrim 没有自己的自我传播能力,也不能分发其他恶意软件或在受感染的系统中持久隐藏。该恶意软件的主要目的是从被控制的服务器接收更多命令,包括使用提供的凭据对 WordPress 和 OpenCart 进行暴力攻击。 GoTrim 也可以在服务器模式下运行,在该模式下,它启动服务器以侦听攻击者通过命令和控制 (C2) 服务器发送的传入请求。然而,这仅在被破坏的系统直接连接到 Internet 时才会发生。 僵尸网络恶意软件的另一个关键特征是它能够模仿来64 位 Windows 上的 Mozilla Firefox 浏览器的合法请求,以绕过反机器人保护,此外还能解决 WordPress 网站中存在的 CAPTCHA 障碍。 研究人员说:“虽然这种恶意软件仍在开发中,但它具有功能齐全的 WordPress 暴力破解程序以及其反机器人逃避技术这一事实使其成为一个值得关注的威胁。” 暴力破解活动很危险,因为它们可能会导致服务器受损和恶意软件部署。为降低这种风险,网站管理员应确保用户帐户(尤其是管理员帐户)使用强密码。     转自 Freebuf,原文链接:https://www.freebuf.com/news/352564.html 封面来源于网络,如有侵权请联系删除

新 Orchard 僵尸网络使用比特币创始人的账户信息生成恶意域名

Hackernews 编译,转载请注明出处: 据观察,一个名为Orchard的新僵尸网络使用比特币创始人中本聪的账户交易信息生成域名,以隐藏命令和控制(C2)基础设施。 奇虎360的Netlab安全团队的研究人员在周五的一份报告中表示:“由于比特币交易的不确定性,这种技术比使用常见的时间生成(域生成算法)更不可预测,因此更难防御。” 据说自2021年2月以来,Orchard已经进行了三次修订,其中僵尸网络主要用于将额外的有效载荷部署到受害者的机器上,并执行从C2服务器接收到的命令。 它还旨在上传设备和用户信息以及感染USB存储设备,以传播恶意软件。Netlab的分析显示,迄今为止,已有超过3000台主机被该恶意软件奴役,其中大部分位于中国。 Orchard在一年多的时间里也经历了重大更新,其中之一就是在Golang的实施方面进行了短暂的尝试,然后在第三次迭代中切换回C++。 除此之外,最新版本包含启动XMRig挖矿程序的功能,通过滥用受损系统的资源来铸造门罗币(XMR)。 另一个变化涉及攻击中使用的DGA算法。虽然前两个版本完全依靠日期字符串来生成域名,但较新版本使用从加密货币钱包地址“1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa”获得的余额信息。 值得指出的是,钱包地址是比特币创世纪区块的矿工奖励接收地址,该地址发生在2009年1月3日,据信由中本聪持有。 研究人员表示:“在过去十年左右的时间里,由于各种原因,每天都有少量比特币被转移到这个钱包中,所以它是可变的,而且这种变化很难预测,因此这个钱包的余额信息也可以用作DGA输入。” 研究人员揭开了一个名为RapperBot的物联网僵尸网络恶意软件的神秘面纱,该恶意软件被发现可以强制SSH服务器进行分布式拒绝服务(DDoS)攻击。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Mantis——迄今为止的最强僵尸网络

DDoS防护公司Cloudflare宣布其上个月缓解的破纪录的分布式拒绝服务(DDoS)攻击源自一个名为Mantis的新僵尸网络,该僵尸网络很有可能是迄今为止最强大的僵尸网络。 这次僵尸网络的攻击来自5067台设备,最高攻击峰值为每秒2600万次请求。之前的DDoS记录是由Mēris僵尸网络保持的,它发起的攻击峰值为每秒2180万次请求。与Mēris僵尸网络相比,Mantis僵尸网络攻击峰值高出前者每秒420万次请求 Mantis破纪录的DDoS攻击(Cloudflare) 不同寻常的僵尸网络 DDoS防护公司Cloudflare,一直在跟踪Mantis僵尸网络对其客户的攻击踪迹。Cloudflare在今天的一份报告中说,其分析师以螳螂虾来称呼该僵尸网络,螳螂虾身形小,但爪子却有毁灭性的破坏力,而Mantis僵尸网络同样是依靠少量的设备,却也非常强大造成大范围高强度的破坏。 过去典型的僵尸网络需要破坏大量的连接设备,以积累足够的火力,对受保护的目标进行破坏性攻击。但Mantis的目标集中在服务器和虚拟机上,它们的资源明显更多。产生许多HTTPS请求是一个需要资源的过程,所以构成僵尸网络群的设备越强大,它们可以发起的DDoS攻击就越有力。之前的记录保持者Mēris是通过招募有强力硬件的MikroTik设备实现了特别强大的攻击。 Mantis的受害者 Mantis的目标是IT和电信(36%)、新闻、媒体和出版物(15%)、金融(10%)和游戏(12%)领域的实体。Cloudflare指出,在过去30天里,Mantis对近千名Cloudflare客户发起了3000次DDoS攻击。 被Mantis攻击最多的行业 (Cloudflare) 大多数目标是美国(20%)和俄罗斯联邦(15%)的组织,而土耳其、法国、波兰、乌克兰、英国、德国、荷兰和加拿大的受害者所占比例在2.5%至5%。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/339282.html 封面来源于网络,如有侵权请联系删除

美国司法部成功打掉了 RSocks 僵尸网络

Bleeping Computer 网站披露,美国司法部已经成功破坏了俄罗斯 RSocks 恶意软件僵尸网络。该僵尸网络在受害者不知情的状况下,入侵和劫持全球数百万台计算机、智能手机和物联网设备,用作代理服务器。 此次执法活动由 FBI 联合德国、英国和荷兰等国的警察部队共同发起,该僵尸网络在这些国家维持着部分基础设施。 僵尸网络是一个设备群,攻击者可以远程控制其进行包括 DDoS 攻击、加密货币挖掘和部署额外的恶意软件在内的各种行为。 在 RSocks 的案例中,攻击者利用僵尸网络将住宅电脑转换为代理服务器,允许僵尸网络的客户使用它们进行恶意活动。 这些服务的典型使用场景主要包括网络钓鱼操作、凭证填充、账户接管尝试等。此外,攻击者在使用代理服务时,执法部门很难追踪到。 秘密调查 FBI 特工一直在秘密调查 RSocks,也在秘密行动中绘制了 RSocks 基础设施的地图,并在 2017 年购买了大量代理。 根据美国司法部的说法,“客户”每天访问 2000 台代理计算机的费用为 30 美元,访问 90000 台代理的费用为每天 200 美元。 经过分析,调查人员确定了 325000 台被入侵的设备,其中许多位于美国。据称,RSocks 通过暴力破解这些设备的密码,并在被入侵的计算机上安装软件,将其变成代理服务器。 美国司法部指出,RSocks 僵尸网络的受害者主要是一些大型公共和私人实体,其中主要包括大学、酒店、电视演播室和电子制造商,以及家庭企业和个人。 值得一提的是,在三个受害地点,调查人员在征得同意的情况下,用政府控制的计算机(即蜜罐)替换了受感染的设备,随后这三个地方都被  RSocks 破坏了。 值得一提的是,虽然此次国际执法行动严重破坏了 RSocks ,但没有逮捕任何人。 僵尸网络威胁 众所周知,僵尸网络对路由器和其他连接互联网的“智能”物联网设备等安全性较差的设备构成持续且不断变化的威胁,这些设备经常被忽视并在长时间无人监督的情况下运行。 为了保护物联网设备,所有者应始终将默认管理员密码设置为更强大且难以暴力破解的密码,应用最新的可用固件更新,并为与关键设备隔离的物联网设置单独的网络。     转自 Freebuf,原文链接:https://www.freebuf.com/news/336661.html 封面来源于网络,如有侵权请联系删除

微软捣毁 ZLoader 犯罪僵尸网络

微软今天宣布近日捣毁了一个名为 ZLoader 的主要犯罪僵尸网络,这也是使用 XLM 宏作为攻击面的僵尸网络之一。微软的最新行动包括技术和法律活动,以破坏利用 ZLoader 作为恶意软件即服务(malware-as-a-service)的犯罪集团的运作。 在本次捣毁行动中,微软还锁定了一位开发 Zloader 用来分发勒索软件的犯罪分子。他是生活在 Crimean Peninsula Simferopol 的丹尼斯·马利科夫(Denis Malikov)。这一身份在微软的调查中被披露,该公司认为公开披露这一身份将向其他犯罪分子发出一个明确的信息,即他们不能躲在数字匿名的面具后面。 微软还争取到了一项法院命令,以控制犯罪团伙用来发展其僵尸网络的65个域名。该僵尸网络通常由属于全球医院、学校、家庭和企业的受感染电脑组成。 这些域名现在被引导到微软的一个天坑,在那里它们不能再被僵尸网络的犯罪操作者使用。Zloader包含一个嵌入在恶意软件中的域名生成算法(DGA),它创建了额外的域名作为僵尸网络的后备或备用通信渠道。除了硬编码的域名外,法院命令允许我们控制另外319个目前注册的DGA域名。我们还在努力阻止DGA域名的未来注册。 微软数字犯罪部门(DCU)总经理艾米-霍根-伯尼说,ZLoader的最初目标是金融和凭证盗窃。然而,现在它还出售恶意软件即服务,以分发Ryuk等勒索软件,该软件针对医疗机构。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1258209.htm 封面来源于网络,如有侵权请联系删除

FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了在 3 月份成功开展的这一专项行动。不过对于设备所有者们来说,DOJ 还是警告其应该参考 2 月 23 日给出的最初建议,以防受损的设备被再次感染。 自 2 月份曝出与 Cyclops Blink 威胁有关的威胁以来,已有数千台设备得到了处理。不过“大多数”受感染的设备,还是拖到了 3 月中旬甚至更晚。 安全专家将 Cyclops Blink 视作 VPNFilter 的继任者,后者也是一个僵尸网络,于 2018 年被首次曝光,后续一直成为美国政府的一个主要行动目标,以破坏其指挥和控制服务器。 据说 Cyclops Blink 和 VPNFilter 恶意威胁的幕后黑手都是 Sandworm,推测该黑客组织与俄罗斯军事情报部门 GRU 有千丝万缕的联系。 最后,尽管美国当局没有明确指出 Cyclops Blink 的攻击目标,但安全研究人员有指出,该僵尸网络能够收集信息并开展间谍活动、发起用峰值流量瘫痪网络和服务器的 DDoS 攻击,并且具有让设备瘫痪、导致系统与网络中断的攻击能力。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1255669.htm 封面来源于网络,如有侵权请联系删除

Google 起诉两名俄罗斯人 称他们利用 Google 服务帮助操纵僵尸网络

Google 正起诉两名俄罗斯人,称他们操纵着一个复杂的僵尸网络发起了多次攻击,该网络已经悄悄地渗透到全球 100 多万台 Windows 机器中。在设备被感染之后,僵尸网络就会窃取用户的证书和数据,秘密挖掘加密货币,并设置代理,通过受感染的机器和路由器输送其他人的互联网流量。 图片来自于 internetsecurity 在一份提交给纽约南区美国地方法院的诉状中,Google 称俄罗斯国民德米特里·斯塔罗维科夫(Dmitry Starovikov)和亚历山大·菲利波夫(Alexander Filippov)是 Glupteba 僵尸网络的两个主要操作者,并列举了据称他们创建的 Gmail 和 Google Workspace 账户来帮助他们运作犯罪企业。 Google 声称,两名被告利用僵尸网络(被描述为“现代的、无边界的有组织犯罪的技术体现”),包括盗窃和未经授权使用 Google 用户的登录和账户信息。它要求 Starovikov 和 Filippov 支付赔偿金,并永久禁止使用 Google 服务。 Google 表示自 2020 年以来一直在追踪 Glupteba 僵尸网络,到目前为止,它已经感染了全球约 100 万台 Windows 机器,并且每天都在以数千台新设备的速度增长。一旦设备被感染,通常是欺骗用户通过第三方“免费下载”网站下载恶意软件–僵尸网络就会窃取用户的证书和数据,秘密挖掘加密货币,并设置代理,通过受感染的机器和路由器输送其他人的互联网流量。 Google在其投诉中补充说:”在任何时候,Glupteba 僵尸网络的力量都可能被用于强大的勒索软件攻击或分布式拒绝服务攻击。除了对所谓的 Glupteba 僵尸网络发起诉讼外,该公司的威胁分析小组(TAG)已经观察到该僵尸网络以美国、印度、巴西、越南和东南亚的受害者为目标。Google 宣布它已经与互联网托管服务提供商合作,破坏了该僵尸网络的关键指挥和控制(C2)基础设施。这意味着其运营商不再控制该僵尸网络,尽管Google警告说,由于Glupteba使用区块链技术作为一种弹性机制,它可能会卷土重来。   (消息及封面来源:cnBeta)

指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。 除此以外,他还被用来通过暴力手段来窃取用户凭证,如密码,测试各种网站的弱点,为将来的网络攻击做准备,罪犯通过在线论坛和Telegram销售和接收此类攻击的命令。 SBU利用他在俄罗斯数字支付服务WebMoney上注册的账户追踪到他,这名黑客不慎在那里提供了他的真实地址。 根据《乌克兰刑法典》,该罪犯将根据”第361-1条第2部分(以创作为目的)、361-1条(为使用、分发或销售恶意软件或硬件的目的而创造,以及分发或销售),以及363-1条(干扰工作)。363-1条(通过大量传播电信信息干扰电子计算机(电脑)、自动化系统、计算机网络或电信网络的工作)”被指控。   (消息及封面来源:cnBeta)

安全部门利用 Meris DDoS 创建者的一个纰漏 成功锁定部分僵尸网络设备

俄罗斯电信巨头 Rostelecom 旗下网络安全部门 Rostelecom-Solar 周一表示,发现并利用恶意软件创建者的一个纰漏,成功封锁了 Meris DDoS 僵尸网络部分设备。Meris 僵尸网络在今年早些时候首次被发现,是目前互联网上最大的 DDoS 僵尸网络,其规模估计约为 25 万个受感染的系统。 在过去几个月里,该僵尸网络被攻击者滥用,对俄罗斯、英国、美国和新西兰等几个国家的互联网服务提供商和金融实体进行了 DDoS 勒索攻击。由于这些勒索攻击,很多公司因为僵尸网络的巨大威力而被迫下线。其中最凶猛的几次攻击,Meris 今年两次打破了最大容量 DDoS 攻击的记录,一次是在 6 月,另一次是在 9 月。  Cloudflare 和 Qrator 实验室等互联网基础设施公司在其客户受到攻击后对该僵尸网络进行了分析,发现绝大多数受感染的系统都是 MikroTik 网络设备,如路由器、交换机和接入点。 在上周的一篇博文中,MikroTik表示,攻击者滥用了其RouterOS中的一个旧漏洞(CVE-2018-14847),利用业主尚未更新的设备组装了他们的僵尸网络。 但在周一发表的研究报告中,Rostelecom-Solar 表示,在对这种新的威胁(也一直在攻击其一些客户)进行例行分析时,其工程师发现,一些受感染的路由器正在向一个未注册的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。 Rostelecom-Solar的工程师说,他们抓住了运营商的错误,注册了这个域名并将其转化为一个“天坑”(sinkhole)。经过几天的追踪,研究人员说他们收到了来自约 45000 台受感染的 MikroTik 设备的 ping,这个数字估计约为僵尸网络整个规模的五分之一。 该公司本周说:“不幸的是,我们不能对我们控制下的设备采取任何积极行动(我们没有权力这样做)。目前,大约 45,000 台 MikroTik 设备转向我们的天坑域”。 为了防止MikroTik路由器所有者检测到这些与cosmosentry[.]com的可疑连接,Rostelecom-Solar表示,他们已经设置了一个占位符信息,告知他们谁拥有这个域名以及为什么他们的路由器会进行连接。 此外,研究人员表示,他们还在Meris恶意软件的代码中发现了一些线索,这些线索也让人了解到这个僵尸网络是如何被组装起来的。根据 Rostelecom-Solar 团队的说法,Meris僵尸网络似乎是通过Glupteba组装的,这是一种针对Windows电脑的恶意软件,通常被用作其他各种恶意软件的加载器。 Meris代码的相似性以及许多使用内部IPping Rostelecom天坑的路由器证实了该公司的理论,即Meris是通过Glupteba恶意软件完全或部分组装的。然而,目前还不清楚是Glupteba团伙自己建立了Meris僵尸网络,还是另一个团伙租用了Glupteba感染的主机来部署MikroTik模块,最终产生 Meris。   (消息及封面来源:cnBeta)