E安全4月27日訊,近日據外媒報道,ESET網絡安全研究團隊於上週四表示,他們刪除了一個惡意殭屍網絡的一部分,他們設法使殭屍網絡的多個命令和控制(C&C)服務器陷入僵局,這個殭屍網絡至少包括35000萬個被破壞的Windows系統。
據悉,該殭屍網絡名為VictoryGate自2019年5月以來一直活躍,攻擊者秘密使用這些系統來挖掘Monero加密貨幣,受害者包括公共和私營部門,包括金融機構。根據報告的內容瞭解到,主要的感染髮生在拉丁美洲地區,特別是秘魯佔被感染設備的90%。
ESET表示,他們與動態DNS提供商No-IP合作,關閉了惡意的命令和控制(C&C)服務器,並設置了偽造的域(也稱為宿坑)來監視該殭屍網絡的活動。據瞭解,VictoryGate主要專注於Monero挖礦,但該惡意軟件還允許殭屍網絡管理員向節點發出命令,以下載並執行其他有效負載。因此,ESET團隊認為這個殭屍網絡的目的可能在某個時候已經改變了,這一點構成了非常大的風險,因為ESET已經確定了有公共部門以及包括金融機構在內的私營部門網絡流量受到損害。
在攻擊發生時,對於受害者而言,USB驅動器將會正常顯示,所有文件和文件夾均按順序排列。但是,當受害者嘗試打開文件時,腳本將啟動目標文件和惡意軟件的初始模塊,該模塊會將自身複製到“%AppData%”,並將快捷方式放置在啟動文件夾中,以便在重新啟動時執行。
ESET對此估計,平均一天有2,000個bot在挖掘,並且該殭屍網絡操作至少產生了80個Monero(約合$ 6,000美金)。同時,ESET還總結道,儘管我們做出了努力,但受感染的USB驅動器將繼續流通,並且仍將繼續發生新的感染。在此次行動後主要區別在於,殭屍程序將不再從C&C接收命令,這將防止新的受害者從互聯網上下載輔助負載,但是那些在中斷之前就被感染的PC可能會繼續進行加密挖礦。
閱讀更多 E安全 的文章
