HackerNews 编译，转载请注明出处： 来自 BitSight 的新报告证实，尽管德国警方进行了干扰，BadBox 恶意软件操作依然持续增长，研究人员发现该恶意软件已安装在了全球 192000 台电视和智能手机上。 BitSight 的研究人员警告称，该恶意软件似乎已扩大其攻击范围，不再仅仅针对一些不知名的中国 Android 设备，现在已开始感染更为知名且受信任的品牌，例如 Yandex 电视和 Hisense 智能手机。 BadBox 是一种 Android 恶意软件，据信基于 ‘Triada’ 恶意软件家族，它通过供应链攻击、可疑员工或在产品分销阶段进行注入等方式感染由不知名厂商制造的设备。 该恶意软件首次在 2023 年初由加拿大安全顾问 Daniel Milisic 在 Amazon 上购买的 T95 Android 电视盒中发现。随后，恶意软件操作逐步扩展到其他在线销售的不知名产品。 BadBox 攻击活动的目标是通过将设备转变为住宅代理或利用其进行广告欺诈来获取财务利益。这些住宅代理随后可以出租给其他用户，在许多情况下是网络犯罪分子，他们使用受感染设备作为代理发起攻击或进行其他欺诈活动。 此外，BadBox 恶意软件还可以用来安装其他恶意载荷到 Android 设备上，执行更危险的操作。 恶意软件活动流程 上周，德国联邦信息安全办公室（BSI）宣布，他们通过拦截操作中断了该国的 BadBox 恶意软件活动，成功切断了一个恶意软件的指挥与控制服务器的通信，影响了约 30000 台 Android 设备。 这些受影响的设备主要是 Android 数字相框和媒体流媒体盒，但 BSI 警告称，BadBox 恶意软件可能出现在更多产品类别中。 根据 BitSight 研究员 Pedro Falé 的说法，该公司能够拦截其中一个 BadBox 恶意软件操作所使用的指挥与控制服务器。由于研究人员现在控制了该域名，他们能够监控设备何时尝试连接，进而得知有多少唯一 IP 地址受到影响。 “但现实情况是，BadBox 似乎仍然活跃并扩展，”Falé 写道，“当 BitSight 成功拦截一个 BadBox 域名时，我们在 24 小时内注册了超过 160000 个唯一 IP 地址，这一数字一直在稳步增长。” 这表明，BadBox 僵尸网络的影响比之前预计的要大得多。之前认为这个僵尸网络的设备数量大约为74,000台，但实际情况远远超过了这个数字。 这些被感染的设备包括流行于俄罗斯的 Yandex 4K QLED 智能电视和 Hisense T963 智能手机。 “这些受影响的型号（从 YNDX-00091 到 YNDX-000102）是来自知名品牌的 4K 智能电视，而不是廉价的 Android 电视盒，”BitSight 解释道。 “这是第一次发现大品牌智能电视直接与 BadBox 指挥与控制（C2）域进行如此大量的通信，将受影响的设备范围从 Android 电视盒、平板和智能手机扩展到更多设备。” BitSight 检测到的设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。 设备与 BadBox 服务器通信的位置 BitSight 还报告称，BSI 最近的行动并未影响其遥测数据，因为此次干扰仅限于特定区域，因此 BadBox Android 恶意软件活动得以持续。 随着 BadBox 扩展到更多大品牌，消费者应确保及时安装最新的固件安全更新，将智能设备与更关键的系统隔离，并在不使用时将其断开网络连接。如果您的设备没有安全更新或固件更新，强烈建议您将其断网或完全关闭。 BadBox 僵尸网络感染的迹象包括设备过热、由于高 CPU 使用率导致的性能下降、异常的网络流量以及设备设置的变化。   消息来源：Bleeping Computer, 编译：zhongx；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Aqua Nautilus 研究人员发现了一个由 Matrix 发起的一系列大规模 DDoS 攻击活动，该活动可能是俄罗斯威胁组织发起。 Aqua Nautilus 的网络安全研究人员发现了一个名为 Matrix 的威胁组织发起的新型分布式拒绝服务 ( DDoS ) 活动，利用现成的工具和最低限度的技术专长。 根据 Aqua Nautilus 的调查结果，Matrix（研究人员将其称为脚本小子）的目标是庞大的互联网IoT设备，包括物联网设备、摄像头、路由器、DVR 和企业系统。 攻击者使用不同的技术，主要依靠暴力攻击，利用弱密码和错误配置来获取初始访问权限。 一旦被入侵，设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。 根据 Aqua Nautilus 的博客文章，尽管最初有迹象表明该攻击与俄罗斯有关，但乌克兰目标的缺失表明该攻击主要关注的是经济利益，而非政治目的。 Matrix 创建了一个 Telegram 机器人 Kraken Autobuy，以销售针对第 4 层（传输层）和第 7 层（应用层）攻击的 DDoS 攻击服务，进一步强调了该攻击活动的商业化。 该活动利用了近期和之前的一系列漏洞，其中包括： CVE-2014-8361 CVE-2017-17215 CVE-2018-10562 CVE-2022-30525 CVE-2024-27348 CVE-2018-10561 CVE-2018-9995 CVE-2018-9995 CVE-2017-18368 CVE-2017-17106 这些漏洞与广泛存在的弱凭证相结合，为恶意攻击者创造了巨大的攻击面。大多数活动（约 95%）发生在工作日。 Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本，主要用 Python、Shell 和 Golang 编写。 研究人员指出：“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件（主要是 Mirai 和其他 DDoS 相关工具）的工具。” 截图显示使用弱凭证成功登录摄像头面板（通过 Aqua Nautilus） 另一方面，Virus Total 发现用于发起 DDoS 攻击的各种工具，包括 DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack 和 Homo Network。 这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击，以及利用 Discord 进行通信和远程控制。 此次攻击活动的潜在影响十分巨大，数千万台联网设备可能面临风险。 研究人员指出：“近 3500 万台设备存在风险。如果 1% 的设备受到攻击，僵尸网络可能覆盖 35 万台设备；如果 5% 的设备受到攻击，僵尸网络可能覆盖 170 万台设备，与过去发生的重大攻击不相上下。” 主要影响是服务器拒绝服务，扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用，影响依赖它们的企业。观察到针对 ZEPHYR 的有限加密货币挖掘操作，但产生的经济收益微乎其微。 为了保证安全，组织应该优先考虑强有力的安全实践，如定期修补、强密码策略、网络分段、入侵检测系统、Web 应用程序防火墙和定期安全审核，以减少遭受DDoS 攻击和其他网络威胁的风险。 技术报告：https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/xx3FkgaS4rGsEhZwmMHvCQ 封面来源于网络，如有侵权请联系删除

神秘的 Quad7 僵尸网络的运营者正在利用已知和未知的安全漏洞，入侵多个品牌的 SOHO 路由器和 VPN 设备，并积极发展。 根据法国网络安全公司 Sekoia 的最新报告，目标包括 TP-LINK、Zyxel、Asus、Axentra、D-Link 和 NETGEAR 的设备。 研究人员 Felix Aimé、Pierre-Antoine D. 和 Charles M. 表示：“Quad7 僵尸网络运营商似乎正在改进其工具集，引入新的后门并探索新的协议，目的是增强隐身性并逃避其操作中继盒 (ORB) 的跟踪能力。” Quad7，也称为 7777，于 2023 年 10 月首次由独立研究员 Gi7w0rm 公开记录，强调了该活动集群将 TP-Link 路由器和大华数字视频录像机 (DVR) 诱捕到僵尸网络的模式。 该僵尸网络因其在受感染设备上打开 TCP 端口 7777 而得名，据观察，该僵尸网络可以暴力破解 Microsoft 3665 和 Azure 实例。 VulnCheck 的 Jacob Baines 今年 1 月初指出：“僵尸网络似乎还感染了 MVPower、Zyxel NAS 和 GitLab 等其他系统，尽管感染量非常小。僵尸网络不仅在端口 7777 上启动服务，还在端口 11228 上启动 SOCKS5 服务器。” Sekoia 和 Team Cymru 在过去几个月的后续分析发现，该僵尸网络不仅攻 击了保加利亚、俄罗斯、美国和乌克兰的 TP-Link 路由器，而且还扩展到攻击开放了 TCP 端口 63256 和 63260 的华硕路由器。 最新调查结果显示，该僵尸网络由若干个集群组成—— xlogin（又名 7777 僵尸网络） – 由受感染的 TP-Link 路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 7777 和 11288 alogin（又名 63256 僵尸网络）——由受感染的华硕路由器组成的僵尸网络，该路由器同时打开了 TCP 端口 63256 和 63260 rlogin – 由受感染的 Ruckus Wireless 设备组成的僵尸网络，这些设备打开了 TCP 端口 63210 axlogin – 一个能够攻击 Axentra NAS 设备的僵尸网络（目前尚未在野外检测到） zylogin – 由受感染的 Zyxel VPN 设备组成的僵尸网络，这些设备开放了 TCP 端口 3256 感染量排名前三的国家是保加利亚、美国和乌克兰。 进一步表明战术演变的是，攻击者现在使用一个名为 UPDTAE 的新后门，该后门建立基于 HTTP 的反向 shell，以在受感染的设备上建立远程控制并执行从命令和控制 (C2) 服务器发送的命令。 目前尚不清楚该僵尸网络的具体目的或幕后黑手。 “关于 7777 [僵尸网络]，我们只看到针对 Microsoft 365 帐户的暴力破解尝试。”Aimé 告诉该出版物。“对于其他僵尸网络，我们仍然不知道它们是如何使用的。” “我们发现攻击者试图通过在受感染的边缘设备上使用新的恶意软件来变得更加隐秘。此举的主要目的是防止追踪附属僵尸网络。” 技术报告：https://blog.sekoia.io/a-glimpse-into-the-quad7-operators-next-moves-and-associated-botnets/     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/MxYNWKVCLZzkOCd4p7V9Jw 封面来源于网络，如有侵权请联系删除

Mirai 僵尸网络在全球 DDoS 攻击中发挥了重要作用，特别是针对 IoT 设备和服务器的攻击。最近，Mirai的命令和控制服务器中发现了一个新漏洞，该漏洞允许攻击者执行DDoS攻击，但同时也能被安全人员用来进行反制。 僵尸网络的核心基础设施完全依赖于 C2 服务器，其中可以控制数千台受感染的僵尸计算机。一位名叫“Jacob Masse”的研究人员发现表明，这种DDoS 攻击的存在是由于 CNC 服务器上的会话管理不当造成的。 研究人员表示，发起此攻击不需要身份验证，从而很容易被利用。执法部门或安全研究人员也可以使用这种攻击场景来使 CNC 服务器无法运行，从而导致僵尸网络被拆除。具体原理基于此漏洞会压垮服务器的会话缓冲区，当同时建立多个连接时，无法正确处理该缓冲区。 此外，这种攻击还存在于预验证阶段，即验证打开后的多个同时连接尝试未得到正确处理。 在此情况下，攻击者可以使用根用户名发送验证请求，从而在 CNC 服务器上打开多个连接。 服务器无法管理这些连接尝试，从而导致资源耗尽和服务器崩溃。 因此，对于安全人员而言，利用此漏洞可以破坏僵尸网络活动，从而随后消除与僵尸网络相关的威胁。但从攻击者角度出发，该漏洞导致的恶意网络压力也会破坏数据并造成业务中断。 Mirai 僵尸网络被发现于2016年8月，因其潜在的DDoS攻击和庞大网络而多次成为头条新闻，特别是针对 IoT 设备和服务器的攻击。Mirai 拥有数千台遭到入侵的设备，并通过利用弱默认密码和已知漏洞来瞄准 IP 摄像头和家用路由器等消费类设备，其他几个变体的源代码与 Mirai相似。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409539.html 封面来源于网络，如有侵权请联系删除

近日，网络安全研究人员发现了 Gafgyt 僵尸网络的一个新变种，它以 SSH 密码较弱的机器为目标，最终利用其 GPU 计算能力在被攻击的实例上挖掘加密货币。 Aqua Security 研究员 Assaf Morag 在周三的一份分析报告中说：“这表明，物联网僵尸网络正在瞄准运行在云原生环境中的更强大的服务器。” 据了解，Gafgyt（又名 BASHLITE、Lizkebab 和 Torlus）自 2014 年以来一直在野外活跃，它曾利用弱凭据或默认凭据获得路由器、摄像头和数字视频录像机（DVR）等设备的控制权。它还能利用 Dasan、华为、Realtek、SonicWall 和 Zyxel 设备中的已知安全漏洞。 受感染的设备被集中到一个僵尸网络中，能够对感兴趣的目标发起分布式拒绝服务（DDoS）攻击。有证据表明，Gafgyt 和 Necro 由一个名为 Keksec 的威胁组织运营，该组织也被追踪为 Kek Security 和 FreakOut。 像 Gafgyt 这样的物联网僵尸网络在不断进化，增加新的功能，2021 年检测到的变种使用 TOR 网络来掩盖恶意活动，并从泄露的 Mirai 源代码中借用了一些模块。值得注意的是，Gafgyt 的源代码于 2015 年初在网上泄露，进一步助长了其新版本和适应版本的出现。 最新的攻击链涉及使用弱密码暴力破解 SSH 服务器，部署下一阶段有效载荷，以便使用 “systemd-net ”进行加密货币挖矿攻击，但在这一过程中，会先终止在受感染主机上运行的其他竞争性恶意软件。 它还会执行一个蠕虫模块，这是一个基于 Go 的 SSH 扫描器，名为 ld-musl-x86，负责扫描互联网上安全性较差的服务器，并将恶意软件传播到其他系统，从而有效扩大僵尸网络的规模。这包括 SSH、Telnet 以及与游戏服务器和 AWS、Azure 和 Hadoop 等云环境相关的凭证。 Morag 指出：”目前使用的加密货币挖矿工具是 XMRig，它是一款专门用于挖掘门罗币的软件。在这次攻击中，威胁行为者试图利用 opencl 和 cuda 标志来运行挖矿软件，以便更充分地利用 GPU 和 Nvidia GPU 的计算能力。” 结合攻击者主要通过挖矿而非发起DDoS攻击来实现其目的，进一步支持了研究人员的观点，即这种新变种与以往的不同，它专注于攻击那些具有强大计算能力的云原生环境。 通过查询 Shodan 收集到的数据显示，目前有超过 3000 万台可公开访问的 SSH 服务器，因此用户必须采取措施保护实例的安全，防止暴力破解攻击和潜在的利用。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408781.html 封面来源于网络，如有侵权请联系删除

据ESET 研究人员表示，自 2009 年以来，一个名为 “Ebury “的恶意软件僵尸网络已经感染了近 40 万台 Linux 服务器，截至 2023 年底，仍有约 10 万台服务器受到攻击。 以下是 ESET 自 2009 年以来记录的 Ebury 感染情况，可见随着时间的推移，感染量明显增长。 在近日发布的最新更新中，ESET报告称，最近的一次执法行动使他们得以深入了解恶意软件在过去15年中的活动。虽然 40万是一个庞大的数字，但这的确是近 15 年来的入侵数量。不过这些并非是在同一时间被入侵的。 ESET解释说：在其他服务器被清理或退役的同时，不断有新的服务器被入侵。研究所掌握的数据并不能说明攻击者何时失去了对系统的访问权限，因此很难知道僵尸网络在任何特定时间点的规模。 Ebury 的最新策略 最近的 Ebury 攻击表明，操作者倾向于入侵托管提供商，并对租用被入侵提供商虚拟服务器的客户实施供应链攻击。 最初的入侵是通过凭证填充攻击进行的，使用窃取的凭证登录服务器。一旦服务器被入侵，恶意软件就会从 wtmp 和 known_hosts 文件中渗出入站/出站 SSH 连接列表，并窃取 SSH 身份验证密钥，然后利用这些密钥尝试登录其他系统。 ESET 的详细报告中写道：当 known_hosts 文件包含散列信息时，作案者会尝试对其内容进行暴力破解。 在 Ebury 操作员收集的 480 万个 known_hosts 条目中，约有 200 万个条目对其主机名进行了散列。在这些散列主机名中，40%（约 80 万个）是猜测或暴力获取的。 另外，在可能的情况下，攻击者还可能利用服务器上运行的软件中已知的漏洞来获得进一步的访问权限或提升他们的权限。 托管提供商的基础设施（包括 OpenVZ 或容器主机）可用于在多个容器或虚拟环境中部署 Ebury。 在下一阶段，恶意软件操作员通过使用地址解析协议（ARP）欺骗拦截这些数据中心内目标服务器上的 SSH 流量，将流量重定向到其控制的服务器。 一旦用户通过 SSH 登录受攻击的服务器，Ebury 就会捕获登录凭证。 在服务器托管加密货币钱包的情况下，Ebury 会使用捕获的凭据自动清空钱包。据悉，2023 年Ebury 使用这种方法攻击了至少 200 台服务器，其中包括比特币和以太坊节点。 不过，这些货币化策略各不相同，还包括窃取输入支付网站的信用卡信息、重定向网络流量以从广告和联盟计划中获取收入、利用被攻陷的服务器发送垃圾邮件以及出售捕获的凭据。 在 2023 年底，ESET 观察到该软件引入了新的混淆技术和新的域生成算法 (DGA) 系统，使僵尸网络能够躲避检测并提高其抵御拦截的能力。 而根据 ESET 的最新发现，通过 Ebury 僵尸网络传播的恶意软件模块有： HelimodProxy： 通过修改mod_dir.so Apache模块代理原始流量和转发垃圾邮件，允许被入侵的服务器运行任意命令并支持垃圾邮件活动。 HelimodRedirect： 通过修改各种 Apache 和 nginx 模块，将 HTTP 流量重定向到攻击者控制的网站，从而将一小部分网络流量重定向到恶意网站。 HelimodSteal： 通过添加一个输入过滤器，拦截并窃取通过网络表单提交的数据（如登录凭证和支付详情），从而从 HTTP POST 请求中窃取敏感信息。 KernelRedirect： 通过使用挂接 Netfilter 的 Linux 内核模块，在内核级别修改 HTTP 流量以重定向访问者，改变 HTTP 响应中的位置标头，将用户重定向到恶意 URL。 FrizzySteal： 通过挂钩 libcurl 来拦截和渗透 HTTP 请求，使其能够捕获和窃取被入侵服务器发出的 HTTP 请求中的数据。 ESET 的最新调查是与荷兰国家高科技犯罪小组（NHTCU）合作进行的，该小组最近查获了网络犯罪分子使用的备份服务器。 荷兰当局称，Ebury 的行为者使用通过 Vidar Stealer伪造或盗用的身份，有时甚至冒用其他网络犯罪分子的绰号来误导执法部门。 目前，NHTCU 正在调查在该服务器中发现的证据，包括包含历史记录和保存的登录信息等网络浏览痕迹的虚拟机，但目前还没有新发现。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400974.html 封面来源于网络，如有侵权请联系删除

自四月以来，数百万封网络钓鱼邮件通过Phorpiex僵尸网络发送，进行了大规模的LockBit Black勒索软件活动。 新泽西州网络安全和通信集成中心（NJCCIC）在周五警告称，攻击者使用包含可执行文件的ZIP附件来部署LockBit Black有效载荷，一旦被启动，这些文件将加密收件人的系统。 这些攻击中LockBit Black加密器可能是使用LockBit 3.0生成器构建的，该生成器由一位不满的开发者于2022年9月在推特上泄露。然而，这次活动被认为与实际的LockBit勒索软件操作没有任何关联。 这些带有“你的文件”和“你的照片”等主题的网络钓鱼邮件，用“Jenny Brown”或“Jenny Green”的别名从全球1500多个独立IP地址发送出去，地址包括哈萨克斯坦、乌兹别克斯坦、伊朗、俄罗斯和中国。 攻击链始于收件人打开恶意的ZIP压缩附件并执行其中的二进制文件。 接着，此可执行文件从Phorphiex僵尸网络的基础设施下载LockBit Black勒索软件样本并在受害者系统上执行。启动后，它将尝试窃取敏感数据、终止服务并加密文件。 自4月24日以来一直调查这些攻击事件的网络安全公司Proofpoint在周一表示，黑客针对全球各个行业的公司进行攻击。 尽管这种方法并不新鲜且缺乏其他网络攻击的复杂性，但发送大量邮件来传送恶意负载，并将勒索软件作为第一阶段负载使用，让这种方法在众多网络攻击中脱颖而出。 Proofpoint的安全研究人员表示：“2024年4月24日后约一周时间，Proofpoint观察到由Phorpiex僵尸网络促成的大规模活动，该网络每天发送数百万封信息来传送LockBit Black勒索软件。” “这是Proofpoint研究人员首次观察到通过Phorphiex以如此高的效率传送LockBit Black勒索软件（又名LockBit 3.0）的样本。” Phorpiex僵尸网络（也称为Trik）已经活跃了十多年。它从通过可移动USB存储设备和Skype或Windows Live Messenger聊天传播的蠕虫，演变为使用电子邮件垃圾邮件传送的由IRC控制的木马。 经过多年的活动和发展，Phorpiex僵尸网络逐渐壮大，控制了超过100万台感染设备。然而，其运营者在关闭Phorpiex基础设施后，尝试在黑客论坛上出售该恶意软件的源代码。 Phorpiex僵尸网络还被用来发送数百万封色情勒索邮件（每小时发送超过30,000封邮件），最近还使用了剪贴板劫持模块，将复制到Windows剪贴板的加密货币钱包地址替换为攻击者控制的地址。 在添加加密货币剪贴板劫持功能的一年内，Phorpiex的运营者劫持了969笔交易，盗取了3.64比特币（价值172,300美元）、55.87以太币（价值216,000美元）和价值55,000美元的ERC20代币。 为了防御推送勒索软件的网络钓鱼攻击，NJCCIC建议实施勒索软件风险缓解策略，并使用终端安全解决方案和电子邮件过滤解决方案（如垃圾邮件过滤器）来阻止潜在的恶意消息传播。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Lumen Technologies 的威胁情报分析师发现一个由 40,000 个僵尸网络组成的强大僵尸网络集群，其中充满了用于网络犯罪活动的报废路由器和物联网设备。 根据 Lumen Black Lotus Labs 的最新报告，一个臭名昭著的网络犯罪组织一直在针对世界各地的报废小型家庭/小型办公室 (SOHO) 路由器和物联网设备开展多年攻击活动。 研究人员警告说，该路由器僵尸网络于 2014 年首次出现，一直在悄悄运行，同时在 2024 年 1 月和 2 月增长到来自 88 个国家的 40,000 多个僵尸网络。 “这些机器人中的大多数都被用作臭名昭著的、针对网络犯罪的代理服务的基础，该服务被称为 Faceless。我们最新的跟踪显示，[僵尸网络] 使 Faceless 的新用户数量以每周近 7,000 个的速度增长。” Black Lotus Labs 的研究人员表示，他们确定了该组织代理服务的逻辑图，其中包括 2024 年 3 月第一周开始的一项活动，该活动在不到 72 小时内针对 6,000 多个华硕路由器进行了攻击。 研究人员指出，据观察，基于 SOHO/IoT 的活动集群每周与数以万计的不同 IP 地址进行通信。Black Lotus Labs 团队表示：“我们的分析表明，该僵尸网络背后的运营商正在将受感染的报废 (EoL) 设备注册到名为 Faceless 的代理服务中。”该服务已成为“一项强大的代理服务，从“iSocks”匿名服务的废墟中诞生，已成为网络犯罪分子混淆其活动的不可或缺的工具。” 研究人员认为，全球范围内针对报废物联网设备的攻击是故意的，因为它们不再受到制造商的支持，而且已知的安全漏洞也没有得到修补。 研究人员警告说：“此类设备有时也有可能被遗忘或遗弃。” Black Lotus Labs 的研究人员建议企业网络防御者寻找针对弱凭据和可疑登录尝试的攻击，即使这些攻击源自绕过地理围栏和基于 ASN 的阻止住宅 IP 地址。 安全从业人员还应该保护云资产免遭与试图执行密码喷洒攻击的BOT进行通信，并开始使用 Web 应用程序防火墙阻止 IoC。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/aIvqEkg5ZBUTLL9-t094qw 封面来源于网络，如有侵权请联系删除

FritzFrog 加密挖矿僵尸网络具有新的增长潜力：最近分析的该僵尸程序变体正在利用 Log4Shell (CVE-2021-44228) 和 PwnKit (CVE-2021-4034) 漏洞进行横向移动和权限升级。 FritzFrog 僵尸网络 FritzFrog 僵尸网络最初于 2020 年 8 月被发现，是一个点对点（而非集中控制）僵尸网络，由用 Golang 编写的恶意软件提供支持。它通过暴力破解登录凭据来攻击 SSH 服务器，并已成功入侵全球数千台服务器。 Akamai 安全情报组织 (SIG) 指出：“每台受感染的主机都成为 FritzFrog 网络的一部分，它与受感染的对等主机进行通信以共享信息、有效负载和配置。” 僵尸网络的最终目标是利用受感染的服务器进行秘密加密货币挖掘。 FritzFrog 僵尸网络的新功能 该机器人恶意软件不断更新新的和改进的功能。“[FritzFrog’s] P2P 实现是从头开始编写的，这提醒我们攻击者是高度专业的软件开发人员，”研究人员指出。 该恶意软件的最新版本尝试通过 SSH 暴力破解或利用臭名昭著的 Log4Shell 漏洞来针对内部网络中的所有主机。 “FritzFrog 通过在端口 8080、8090、8888 和 9000 上查找 HTTP 服务器来识别潜在的 Log4Shell 目标。要触发该漏洞，攻击者需要强制易受攻击的 log4j 应用程序记录包含有效负载的数据，”安全研究人员 Ori David 解释道。 “FritzFrog 在众多 HTTP 标头中发送 Log4Shell 有效负载，希望应用程序至少记录其中之一。这种暴力破解方法旨在成为一种通用的 Log4Shell 漏洞，可以影响各种应用程序。” 它的创建者正在利用这样一个事实：许多组织已经在面向互联网的应用程序上修补了 Log4Shell，但尚未对内部资产进行相同的操作。 FritzFrog 还尝试利用PwnKit (CVE-2021-4034)（PolKit Linux 组件中的一个漏洞）来连接pkexec 二进制文件（该二进制文件以 root 权限运行（即使由弱用户执行）），最终加载并执行 FritzFrog 的二进制。 研究人员指出，由于大多数 Linux 发行版上默认预装了 PolKit，因此许多未打补丁的设备仍然容易受到攻击。 最后，FritzFrog 通过确保尽可能不将文件删除到磁盘上来设法逃避检测。 防御措施 研究人员提供了一个检测脚本，企业防御者可以使用它来检查其 SSH 服务器是否存在 FritzFrog 感染迹象。 不过，一般来说，管理员应注意使用长且唯一的密码并启用多因素身份验证来保护对其服务器的 SSH 访问。 网络分段可以挫败 FritzFrog（和其他恶意软件）的横向移动能力。研究人员总结道：“基于软件的分割可能是一种相对简单的解决方案，具有持久的防御影响。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293068 封面来源于网络，如有侵权请联系删除

美国政府周二宣布取缔 IPStorm 僵尸网络代理网络及其基础设施，此次行动背后的Sergei Makinin已遭逮捕且已认罪。 美国司法部 (DoJ) 表示：“僵尸网络基础设施感染了 Windows 系统，然后进一步扩大到感染Linux、Mac 和 Android 设备，使世界各地的计算机和其他电子设备受害，包括亚洲、欧洲、北美和南美。其中被植入IPStorm恶意程式的受害者主要位于亚洲，前三名是香港、韩国与中国台湾。 崛起于2019年6月的IPStorm是以Golang所撰写，原本锁定Windows装置进行感染，随后并将版图扩大到Linux、macOS与Android，其恶意程式目的是令这些装置为Makinin所控制，Makinin对外宣称总共握有全球2.3万个装置的控制权，遍及亚洲、美洲与欧洲。 基于 Golang 的僵尸网络恶意软件在拆除之前，将受感染的设备转变为代理，作为营利计划的一部分，然后通过 proxx[.]io 和 proxx[.]net 向其他客户提供。 网络安全公司 Intezer在2020 年 10 月指出：“IPStorm 是一个僵尸网络，它滥用名为星际文件系统 ( IPFS ) 的合法点对点 (p2p) 网络来掩盖恶意流量。” 隐藏其恶意活动的威胁行为者“每月花费数百美元”购买对 23,000 多个机器人的非法访问权限来路由其流量。据估计，Makinin 从该计划中至少净赚了 55 万美元。 根据认罪协议，Makinin 预计将没收与犯罪相关的加密货币钱包。 Bitdefender 调查和取证部门高级主管 Alexandru Catalin Cosoi 在一份声明中表示：“星际风暴僵尸网络非常复杂，通过将其租用为受感染物联网设备的代理即服务系统，来支持各种网络犯罪活动。” 据了解，Makinin同时拥有俄罗斯及摩尔多瓦国籍，美国司法部并未说明FBI是如何摧毁IPStorm的基础设施又是如何逮捕Makinin，仅说是联邦调查局与西班牙警方，以及Bitdefender、Anomali Threat Research及Intezer等网络安全从业者的合作下共同破获IPStorm。其中，Intezer本周提供了IPStorm的网路入侵指标，并协助使用者侦测及终止系统所执行的恶意程序。 Makinin承认了3项罪名，涉及未经授权故意传送程序并造成损害，每项罪名最高都可判处10年刑期。   转自E安全，原文链接：https://mp.weixin.qq.com/s/luH7QvKGIOrsM6CDumvj6w 封面来源于网络，如有侵权请联系删除