HTTP/2 快速重置 (CVE-2023-44487) 在全行业协调披露后于本月初曝光，该披露深入研究了未知参与者利用该缺陷针对 Amazon Web Services (AWS) 等各种提供商精心策划的 DDoS 攻击。 Cloudflare 周四表示，它缓解了数千起超容量 HTTP 分布式拒绝服务 (DDoS) 攻击，这些攻击利用了最近披露的名为HTTP/2 Rapid Reset 的缺陷，其中 89 次攻击超过了每秒 1 亿次请求 (RPS)。 这家网络基础设施和安全公司在与 The Hacker News 分享的一份报告中表示：“与上一季度相比，该活动导致第三季度 HTTP DDoS 攻击流量总体增加了 65% 。 ” “同样，L3/4 DDoS 攻击也增加了 14%。” 本季度 HTTP DDoS 攻击请求总数激增至 8.9 万亿个，高于 2023 年第二季度的 5.4 万亿个和 2023 年第一季度的 4.7 万亿个。2022 年第四季度的攻击请求数量为 6.5 万亿个。 Fastly 在周三自己的一份披露中表示，它反击了一次类似的攻击，该攻击的峰值量约为 2.5 亿 RPS，持续时间约为三分钟。 Cloudflare 指出：“利用云计算平台并利用 HTTP/2 的僵尸网络能够为每个僵尸网络节点生成高达 5,000 倍的力量。” “这使得他们能够利用一个包含 5-2 万个节点的小型僵尸网络发起超容量 DDoS 攻击。” HTTP DDoS 攻击的一些主要目标行业包括游戏、IT、加密货币、计算机软件和电信. 该公司表示：“连续第二个季度，基于 DNS 的 DDoS 攻击最为常见。” “所有攻击中几乎 47% 是基于 DNS 的。这比上一季度增加了 44%。SYN洪水仍然位居第二，其次是RST 洪水、UDP 洪水和Mirai 攻击。” 另一个值得注意的变化是 DDoS 攻击的赎金减少，Cloudflare 表示“这是因为威胁行为者已经意识到组织不会向他们支付赎金。” 此次披露正值以色列与哈马斯战争后互联网流量波动和DDoS 攻击激增之际，Cloudflare 击退了数起针对以色列和巴勒斯坦网站的攻击企图。   转自安全客，原文链接：https://www.anquanke.com/post/id/291045 封面来源于网络，如有侵权请联系删除

今年8月下旬，P2PInfect 僵尸网络蠕虫病毒活动量数据开始上升，到今年9月仍在持续上升。 P2PInfect最早发现于2023年7月，它是一种点对点的恶意软件，利用远程代码执行漏洞入侵互联网上的 Windows 和 Linux 系统中的 Redis 实例。 Cado Security 的研究人员自2023年7月下旬以来一直在跟踪该僵尸软件。他们报道称，如今看到的僵尸网络活动遍及全球，影响了包括美国、德国、新加坡、香港、英国和日本等多个国家的系统。 此外，Cado 还表示，最新的 P2PInfect 样本又新增了不少功能并改进了之前的问题功能，这使得其传播力更强。 活动急剧增加 近日，Cado发现了P2PInfect僵尸软件的新活动，这表明该恶意软件已进入代码稳定的新时期。 据研究人员报告称，他们观察到P2PInfect对其蜜罐进行的初始访问尝试次数稳步上升，截至今年8月24日，仅单个传感器的事件数已经达到4064 次。 到今年9月3日，初始访问事件增加了两倍，但仍然相对较少。 然而，在今年9月12日至19日的一周内，P2PInfect 活动激增，仅在此期间，Cado就记录了3619次访问尝试，增长了600倍。 Cado 解释说：P2Pinfect 流量的增加与野生变种数量的增加相吻合，这表明恶意软件开发者的开发速度极快。 记录的尝试访问事件（Cado Security） P2PInfect 的新功能 在活动增加的同时，Cado 还发现了一些新的样本，这些样本使 P2PInfect 成为一个更隐蔽、更可怕的威胁。 首先，恶意软件的作者添加了一种基于 cron 的持续机制，取代了以前的 “bash_logout “方法，每 30 分钟触发一次主要有效载荷。 由 P2PInfect（Cado Security）编写的 Cron 作业 此外，P2Pinfect 现在使用（二级）bash 有效载荷通过本地服务器套接字与主有效载荷通信，如果主进程停止或被删除，它会从对等程序中获取副本并重新启动。 恶意软件现在还使用 SSH 密钥覆盖被入侵端点上的任何 SSH authorized_keys，以防止合法用户通过 SSH 登录。 覆盖现有 SSH 密钥（Cado Security） 如果恶意软件拥有 root 访问权限，它就会使用自动生成的 10 个字符的密码对系统中的其他用户执行密码更改，将其锁定。 最后，P2PInfect 现在为其客户端使用 C 结构配置，该配置在内存中动态更新，而以前它没有配置文件。 目标不明确 Cado 报告称最近观察到的 P2PInfect 变体在试图获取有效载荷，但在被入侵设备上并未看到实际的加密活动。因此，目前还不清楚恶意软件的开发者是否仍在尝试攻击的最后一步，P2PInfect僵尸软件的操纵者可能正在增强其组件或寻找订阅 P2PInfect 的买家。 鉴于当前该僵尸软件的规模、传播、自我更新功能以及本月激增的活动量，可见P2PInfect 是一个值得关注的重大威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/378723.html 封面来源于网络，如有侵权请联系删除

Qakbot是迄今为止规模最大、运行时间最长的僵尸网络之一。8月29日，FBI牵头的一次名为“猎鸭行动”的大规模跨国执法行动成功捣毁了Qakbot的基础设施网络，但也有业界人士担忧FBI的做法带来了“窃听风险”。 最大规模的僵尸网络清除行动 Qakbot僵尸网络是网络犯罪分子中非常流行的网络犯罪工具，用于实施勒索软件、金融欺诈和其他活动。多年来，Qakbot一直充当各种勒索软件团伙及其附属组织的初始感染载体，包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex以及最近的BlackBasta。 Qakbot主要通过包含恶意附件或链接的钓鱼邮件感染受害者计算机。用户下载或单击钓鱼邮件发送的恶意附件或链接后，其计算机将被恶意软件控制成为Qakbot僵尸网络的一部分，Qakbot僵尸网络会向他们的计算机投送其他恶意软件（包括勒索软件）。多年以来，大多数Qakbot受害者都不知道自己的计算机已被Qakbot感染。 据路透社报道，受访安全研究人员表示Qakbot源自俄罗斯，并攻击过从德国到阿根廷等世界各地的组织。自2008年问世以来，Qakbot恶意软件已被大量用于勒索软件攻击和其他网络犯罪，给全球各地的个人、企业、医疗提供商和政府机构造成了数亿美元的损失。 据保守估计，Qakbot僵尸网络（也称为Qbot和Pinkslipbot）与全球至少40起针对公司、医疗提供商和政府机构的勒索软件攻击联系起来，造成了数亿美元的损失。 根据FBI和美国司法部的联合公告，“猎鸭”行动在美国、法国、德国、荷兰、罗马尼亚、拉脱维亚和英国同步进行，是美国主导的对僵尸网络基础设施的史上最大规模的执法行动之一。 “猎鸭行动”扣押了Qakbot网络犯罪组织价值近900万美元的加密货币。根据FBI发布的证据，仅在2021年10月至2023年4月期间，Qakbot管理员就收取了受害者支付的约5800万美元赎金。 虽然大型僵尸网络遭受执法机构的沉重打击后经常“复活”（例如EMonet），但FBI局长克里斯托弗·雷(ChristopherWray)言之凿凿地表示：“FBI消灭了这个影响深远的犯罪供应链，已将其彻底斩断。” 70万台僵尸网络计算机的流量被导向FBI控制的服务器 在启动全球执法行动之前，FBI设法渗透了Qakbot僵尸网络基础设施的一部分（其中包括Qakbort管理员使用的一台计算机），并获得了对Qakbot基础设施的访问权限，发现Qakbot在全球范围已经感染了超过70万台受感染的计算机，其中超过20万台位于美国（50万台分布在全球各地）。 在Qakbot管理员使用的一台（感染Qakbot的）计算机上，FBI找到了许多与Qakbot僵尸网络操作相关的文件，包括Qakbot管理员和同谋之间的聊天内容，以及虚拟货币钱包的信息。 为了彻底捣毁Qakbot的大规模僵尸网络，FBI将Qakbot流量重定向到FBI控制的服务器，并获取了在全球受感染设备上部署卸载程序所需的访问权限。FBI报告称其服务器指示受感染的计算机下载卸载程序文件，进而删除Qakbot恶意软件，并可阻止设备安装任何其他恶意软件。FBI声称此举是为了彻底清除感染并防止部署其他恶意负载。 虽然FBI声称在部署Qakbot卸载工具时通过从受害者计算机收集的IP地址和路由信息通知了受害者，但没有用户在卸载程序从系统中删除恶意软件时收到通知。用户也可以通过在HaveIBeenPwned或荷兰国家警察网站（https://politie.nl/checkyourhack）上提交电子邮件地址来检查是否受到感染。 FBI承诺，自己在主动从受感染的私人系统中删除恶意软件的过程中不会查看或收集任何个人信息。 美国司法部也在本周二的新闻稿中再次强调：“此次执法行动的范围仅限于Qakbot在受害者计算机上安装的信息。它（该行动）没有扩展到修复已安装在受害者计算机上的其他恶意软件，也没有涉及访问或修改受感染计算机所有者和用户的信息。”     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/AOm2zUCecPK_hWhpwNSZjw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一种新型恶意软件已持续暗中攻击小型办公室/家庭办公室(SOHO)路由器两年多，渗透了7万多台设备，并创建了一个跨越20个国家、4万个节点的僵尸网络。 Lumen Black Lotus Lab 将这种恶意软件命名为AVrecon，这是继去年ZuoRAT和HiatusRAT之后，第三个针对SOHO路由器的恶意软件。 该公司表示:“AVrecon已成为了有史以来最大的SOHO路由器目标僵尸网络之一。该行动的目的似乎是建立一个秘密网络，从而悄无声息地进行一系列犯罪活动，例如密码喷洒、数字广告欺诈等。” 受感染最多的国家是英国和美国，其次是阿根廷、尼日利亚、巴西、意大利、孟加拉国、越南、印度、俄罗斯、南非等。 卡巴斯基高级安全研究员Ye (Seth) Jin在2021年5月首次强调了AVrecon，然而该恶意行为直到现在才被发现。 在Lumen详细介绍的攻击链中，成功感染的设备会枚举受害者的SOHO路由器，并将该信息泄露回嵌入式命令和控制(C2)服务器。 它还通过搜索端口48102上的现有进程并在该端口上打开监听器来检查主机上是否已经运行了其他恶意软件实例。绑定在端口48102的进程将被其终止。 下一阶段涉及到被破坏的系统与独立服务器（辅助C2服务器）建立联系，并等待进一步的命令。自2021年10月以来，Lumen确定了至少15个这样一直活跃的独特服务器。 值得注意的是，分层C2基础设施在Emotet和QakBot等臭名昭著的僵尸网络中得到了普遍应用。 AVrecon是用C语言编写的，因此很容易将恶意软件移植到不同的架构中。这类攻击之所以有效，一个关键原因是它们利用了缺乏安全解决方案支持的边缘基础设施。 目前收集到的证据表明，该僵尸网络被用来点击Facebook和谷歌的各种广告，并与微软Outlook进行交互。这可能表明，他们不仅在进行广告欺诈，还在泄露数据。 研究人员表示:“本次攻击方式主要集中在窃取带宽上，不影响端用户。其目的是创建一个住宅代理服务，帮助清洗恶意活动，避免吸引同tor隐藏服务或商用VPN服务同样程度的关注。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，正如诺基亚《2023年威胁情报报告》所揭示的那样，恶意活动的激增最初是在俄乌冲突期间观察到的，现在已经蔓延到全球各个地区。 除了僵尸网络驱动的 DDoS 攻击的增加外，威胁情报报告还强调了以移动设备上的个人银行信息为目标的木马数量翻了一番，目前占所有感染的 9%。 诺基亚威胁情报中心最近的一份报告揭示了针对全球电信网络的物联网僵尸网络 DDoS 攻击的惊人增长。该研究表明，在过去一年中，此类攻击增加了五倍，网络犯罪分子利用不安全的物联网设备和以利益为导向的黑客集体。 这种最初在俄罗斯-乌克兰冲突期间观察到的恶意活动激增，现在已经蔓延到全球各个地区，危及电信网络以外的关键基础设施和服务。 物联网设备在消费者中的激增极大地促进了僵尸网络驱动的 DDoS 攻击的升级。这些攻击中使用的受损物联网设备数量已从 20 万台激增至约 100 万台，目前占所有 DDoS 流量的 40% 以上。 该报告强调，攻击的增加源于越来越多的以利润为导向的黑客团体利用乌克兰危机。 电信网络中一种流行的恶意软件形式是机器人恶意软件，它会扫描易受攻击的设备——一种与多个物联网僵尸网络相关的策略。由于全球数十亿物联网设备普遍存在松散的安全措施，包括从智能冰箱到医疗传感器和智能手表的所有设备，网络犯罪分子找到了充足的利用目标。 除了僵尸网络驱动的 DDoS 攻击的增加外，威胁情报报告还强调了以移动设备上的个人银行信息为目标的木马数量翻了一番，目前占所有感染的 9%。这使全球数百万用户面临财务和信用卡详细信息泄露的更高风险。特洛伊木马是伪装成合法应用程序的恶意软件代码。 从积极的方面来看，该报告显示家庭网络中的恶意软件感染有所下降。在Covid-19 大流行期间达到 3% 的峰值后，感染率下降到 1.5%，接近大流行前 1% 的水平。这种减少可归因于随着人们返回办公环境，针对远程工作者的恶意软件活动有所减少。 报告中的调查结果基于从全球超过 2 亿台设备收集的数据，这些设备利用诺基亚的 NetGuard Endpoint Security 产品来监控网络流量。 加拿大的威胁情报中心、法国的诺基亚网络安全中心、印度的诺基亚安全运营中心以及专注于网络分析和 DDoS 安全的诺基亚 Deepfield 贡献了他们的专业知识来编写这份综合报告。 诺基亚业务应用高级副总裁 Hamdy Farid 在谈到报告的调查结果时强调，迫切需要在5G 网络中采取稳健的安全措施。Farid 强调了以电信为中心的威胁检测和响应的重要性，以及在各级组织（包括服务提供商、供应商和监管机构）实施严格的安全实践和意识的重要性。 物联网僵尸网络攻击的惊人激增为全球电信行业敲响了警钟，要求它们加强安全措施并密切合作以保护网络完整性并确保全球数百万用户的安全。       转自 E安全，原文链接：https://mp.weixin.qq.com/s/UFVCAhUvYCZkyJaEPhprtA 封面来源于网络，如有侵权请联系删除

近日，一个名为“AndoryuBot”的新恶意僵尸网络瞄准了Ruckus无线管理面板上的一个严重漏洞。该漏洞可以感染未打补丁的Wi-Fi接入点，用于DDoS攻击。 该漏洞被追踪为CVE-2023-25717，会影响所有版本为10.4及之前版本Ruckus无线管理面板。该漏洞允许远程攻击者通过向易受攻击的设备发送未经认证的HTTP GET请求来执行代码执行。2023年2AndoryuBot首次出现，2月8日被修复，但针对Ruckus设备的更新版本于4月中旬才出现。 僵尸网络恶意软件旨在将易受攻击的设备加入到其DDoS(分布式拒绝服务)群中，以获取利润。 Ruckus攻击细节 恶意软件通过恶意HTTP GET请求感染易受攻击的设备，然后从一个硬编码的URL下载一个额外的脚本，以达到进一步传播的目的。 恶意HTTP请求(Fortinet) Fortinet分析的变体可以针对许多系统架构，包括x86、arm、spc、m68k、mips、sh4和mpsl。恶意软件在感染设备后，通过SOCKS代理协议与C2服务器建立通信、隐身并绕过防火墙，然后等待命令。 建立C2通信(Fortinet)     转自 Freebuf，原文链接：https://www.freebuf.com/news/366099.html 封面来源于网络，如有侵权请联系删除

一个新的恶意僵尸网络被发现，它以Realtek SDK、华为路由器和Hadoop YARN服务器为目标，将设备引入到DDoS（分布式拒绝服务）群中，有可能进行大规模攻击。 这个新的僵尸网络是Akamai的研究人员今年年初在自己的HTTP和SSH蜜罐上发现的，该僵尸网络利用了CVE-2014-8361和CVE-2017-17215等漏洞。 Akamai说，HinataBot的操作者最初分发Mirai二进制文件，而HinataBot首次出现在2023年1月中旬。它以Mirai为基础，是基于Go的变体。 显著的DDoS能力 该恶意软件通过对SSH端点进行暴力攻击或使用已知漏洞的感染脚本和RCE有效载荷进行分发。感染设备后，恶意软件会默默地运行，等待来自命令和控制服务器的命令执行。 HinataBot的旧版本支持HTTP、UDP、ICMP和TCP洪水，但较新的变体只具有前两种。然而，即使只有两种攻击模式，该僵尸网络也可以潜在地进行非常强大的分布式拒绝服务攻击。 攻击函数 虽然 HTTP 和 UDP 攻击命令不同，但它们都创建了一个包含 512 个工作线程（进程）的工作线程池，这些工作线程在自定义的持续时间内向目标发送硬编码数据包。 HTTP数据包的大小在484和589字节之间。而HinataBot产生的UDP数据包则特别大（65,549字节），由大量的空字节组成。 UDP泛滥数据包捕获 HTTP产生大量的网站请求，而UDP则向目标发送大量的垃圾流量；攻击者通过两种不同的方法来实现断网。 Akamai对僵尸网络的HTTP和UDP的10秒攻击进行了基准测试，在HTTP攻击中，恶意软件产生了20,430个请求，总大小为3.4MB。UDP产生了6733个包，总大小为421MB。 研究人员估计，如果有1000个节点，UDP可以产生大约336Gbps，而在10000个节点，攻击数据量将达到3.3Tbps。 在HTTP洪的情况下，1000个被捕获的设备将产生每秒2000000个请求，而10000个节点将采取这个数字的20400000 rps和27 Gbps。 目前，HinataBot仍在不断开发中，随时可能实施更多的漏洞并扩大其目标范围。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361013.html 封面来源于网络，如有侵权请联系删除

自2022年11月以来，新版本的Prometei的僵尸网络已经感染了全球超过10000个系统。这些感染没有地域的限制，大多数受害网络在巴西、印度尼西亚和土耳其。 Prometei在2016年首次被发现，是一个模块化的僵尸网络，具有大量的组件和几种扩散方法，其中一些还包括利用ProxyLogon微软Exchange服务器的缺陷。 这个跨平台僵尸网络的目标是金融领域，主要是利用其受感染的主机池来挖掘加密货币和收获凭证。 在《黑客新闻》的报告中说，Prometei的最新变体（称为v3）在其现有功能的基础上进行了改进，以进行取证分析，并进一步在受害者机器上钻取访问。 其攻击序列如下：在成功站稳脚跟后，执行PowerShell命令，从远程服务器下载僵尸网络恶意软件。然后，Prometei的主要模块被用来检索实际的加密采矿有效载荷和系统中的其他辅助组件。 其中一些辅助模块作为传播者，旨在通过远程桌面协议（RDP）、安全外壳（SSH）和服务器信息块（SMB）传播恶意软件。 Prometei v3还值得注意的是，它使用域生成算法（DGA）来建立其命令和控制（C2）基础设施。它还包括一个自我更新机制和一个扩展的命令集，以获取敏感数据并控制主机。 最后，该恶意软件还部署了一个Apache网络服务器，它捆绑了一个基于PHP的网络外壳，能够执行Base64编码的命令并进行文件上传。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360219.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，名为 MyloBot 的僵尸网络正在席卷全球，已经成功破坏数以千计的网络系统。据悉，受害目标大部分位于印度、美国、印度尼西亚和伊朗。 MyloBot 僵尸网络早已纵横网络江湖多年 2017 年，MyloBot 僵尸网络出现在网络世界，2018 年首次被 Deep Instinct 记录在案，经过几年的发展，已经具备很强的反分析技术和下载功能。BitSight 公司曾表示，目前 MyloBot 每天感染超过 5 万台设备。 2018 年 11月，Lumen 黑莲花实验室指出，Mylobot 僵尸网络之所以危险，是因为其能够在感染主机后下载和执行任何类型的有效载荷，此举意味着它可以随时下载攻击者想要的任何其它类型恶意软件。 2022 年，业内人士发现 Mylobot 恶意软件从被入侵的端点处发送了勒索电子邮件，作为寻求一场超过 2700 美元比特币的网络犯罪活动中一部分。 已知，MyloBot 僵尸网络采用了多阶段序列来解包并启动机器人恶意软件，值得注意的是，在试图联系指挥和控制（C2）服务器之前，它还会在受害系统中“静默”14 天，以躲避检测。 BitSight 表示，MyloBot 僵尸网络主要功能是建立与嵌入恶意软件中的硬编码 C2 域的连接，并等待进一步的指令。当 Mylobot 收到 C2 的指令时，会将受感染的计算机转换为代理，被感染的机器将此时能够处理许多连接，并转发通过命令和控制服务器发送的流量。 后续，MyloBot 的更新迭代利用了一个下载器，该下载器反过来联系 C2 服务器，后者回应一个包含检索MyloBot 有效载荷链接的加密消息。 最后，安全专家强调，MyloBot 并不是单独作案，可能是网络犯罪事件的一部分。之所以这样说，是因为对僵尸网络 C2 基础设施相关的某个 IP 地址进行反向 DNS 查找时，发现与名为“clients.bhproxys[.]com”的域名有联系。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358341.html 封面来源于网络，如有侵权请联系删除

新发现的Zerobot僵尸网络继续发展，越来越多地针对连接设备。 根据微软发布的一份报告显示，最新版本Data to Drag的恶意软件Zerobot 1.1增加了新的漏洞和分布式拒绝服务攻击能力，将恶意软件的影响范围扩大到不同类型的物联网设备。研究人员曾于去年11月首次发现Zerobot。 Zerobot 影响各种设备，包括防火墙设备、路由器和摄像头，将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中。使用多个模块，该恶意软件可以感染构建在不同体系结构和操作系统上的易受攻击的设备，找到要感染的其他设备，实现持久性并攻击一系列协议。Microsoft 将此活动跟踪为 DEV-1061。 Zerobot 的最新发行版包括其他功能，例如利用 Apache 和 Apache Spark 中的漏洞（分别为 CVE-2021-42013 和 CVE-2022-33891），以及新的 DDoS 攻击功能。 Microsoft 使用 DEV-#### 名称作为未知、新兴或发展中的威胁活动集群的临时名称，允许 Microsoft 将其作为一组独特的信息进行跟踪，直到对威胁的来源或身份达到高度信任为止活动背后的参与者。一旦满足定义的标准，DEV 组就会转换为指定的参与者。 据微软称，这种恶意软件主要通过未打补丁和保护不当的物联网设备传播，如防火墙、路由器和摄像头。黑客不断修改僵尸网络，以扩大和发现尽可能多的设备。 微软发现了Zerobot滥用的7个新漏洞，此外还有21个漏洞，如本月早些时候由Fortinet发现的Spring4Shell和F5 Big。   Zerobot 1.1 包含的几个新漏洞（不完全） Zerobot的升级版利用了Apache web服务器软件、Apache Spark数据处理引擎和通信设备制造商Grandstream等公司的漏洞。 更新后的恶意软件还具有七种新的DDoS功能。根据微软的说法，成功的DDoS攻击可能会被威胁行为者用来勒索赎金，分散其他恶意活动的注意力，或破坏运营。   之前已知的 Zerobot 功能   以前未公开的新功能 Zerobot是用Go编程语言编写的，主要影响Linux设备。微软声称发现了几个可以在Windows上运行的恶意软件样本。在Windows电脑上，恶意软件会将自己复制到名为FireWall.exe的启动文件夹中。 微软研究人员发现其中一个样本基于跨平台（Linux、Windows、macOS）开源远程管理工具（RAT），具有管理进程、文件操作、屏幕截图和运行命令等多种功能。该工具是通过调查恶意软件使用的命令和控制 (C2) IP 发现的。用于下载此 RAT 的脚本称为impst.sh： 用于下载远程管理工具的impst.sh脚本 Zerobot针对使用默认或弱凭据的不安全配置的物联网设备。恶意软件可能会试图通过使用8个常用用户名和130个密码的组合来获得设备访问权限。一旦获得对设备的访问权，Zerobot就会注入恶意有效载荷，下载并试图执行僵尸网络。 恶意软件在Linux和Windows上有不同的持久机制。黑客使用持久性策略来保持对设备的访问，并在未来寻找其他暴露在互联网上的设备进行感染。 当用户愿意付费发动DDoS攻击时，它就会作为恶意软件即服务方案的一部分提供。微软表示，购买Zerobot恶意软件的黑客可以根据目标修改攻击。 微软表示，恶意软件即服务的“商业模式”使网络攻击工业化，使威胁行为者更容易购买恶意软件，并保持对受损网络的访问。 研究人员在各种社交媒体网络上追踪了Zerobot僵尸网络的广告。去年12月，FBI查获了48个与DDoS-for-hire服务有关的域名，其中一个与Zerobot有链接。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/t98vqpf97Rb0eXXwje58sw 封面来源于网络，如有侵权请联系删除