一个P2P的Golang僵尸 *** 在一年多后重新浮出水面,在一个月内侵入了医疗、教育和 *** 部门实体的服务器,感染了总共1500台主机。
Akamai 的研究人员在与 The Hacker News 共享的一份中称,这种名为 FritzFrog 的“分散僵尸 *** 攻击任何暴露 SSH 服务器的设备——云实例、数据中心服务器、路由器等——并能够在受感染的节点上运行任何恶意有效载荷。”
2021年12月初开始的新一轮攻击,在一个月的时间内加快了速度,感染率增长了10倍,而在2022年1月达到高峰,每天发生500起感染事件。这家 *** 安全公司表示,他们在一家欧洲电视频道 *** 、一家俄罗斯医疗设备制造商和东亚多所大学中发现了受感染的设备。
FritzFrog 在2020年8月由 Guardicore 首次,详细说明了僵尸 *** 自20年1月以来攻击并感染了欧洲和美国的500多台服务器的能力。另一方面,新感染病例大量集中在中国。
安全研究员 Ophir Harpaz 在2020年观察到: “ Fritzfrog 依靠在 *** 上共享文件的能力,不仅可以感染新的机器,还可以运行恶意的有效负载,比如 Monero crypto miner。”
僵尸 *** P2P体系结构使其具有适应性,因为分布式 *** 中的每台受损机器都可以充当命令控制(C2)服务器,而不是单一的集中式主机。更重要的是,僵尸 *** 的再次出现伴随着其新功能的增加,包括使用 *** *** 和瞄准 WordPress 服务器。
感染链通过 SSH 传播,植入一个恶意软件有效载荷,然后执行从 c2服务器接收到的指令,运行额外的恶意软件二进制程序,收集系统信息和文件,然后再将它们转移回服务器。
值得注意的是,FritzFrog所使用的 P2P 协议是完全专有的。虽然早期版本的恶意软件进程伪装成“ ifconfig”和“ nginx”,但最近的变体试图用“ apache2”和“ php-fpm”来隐藏它们的活动。
这款恶意软件还包含了其他新特性,包括使用安全复制协议(SCP)将自身复制到远程服务器,使用 Tor *** 链接来掩护输出的 SSH 连接,跟踪 WordPress 服务器进行后续攻击的基础设施,以及避免感染 Raspberry Pi 设备等低端系统的阻塞列表机制。
包含 SCP 特性也可能为恶意软件的起源提供了之一条线索。Akamai 指出,这个用 Go 编写的库已经被中国上海的一个用户分享到了 上。
第二条将恶意软件与中国联系起来的线索是另一起事件,即用于密码挖掘的一个新钱包地址也被用作的一部分,其操作者于去年9月在中国被捕。
消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文
SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞,其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁,但 SentinelLabs 敦促 Azure Defender for IoT 用...
在攻破 NVIDIA 之后,嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖,通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票...
GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(原本发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。...
自 Windows 11 系统 2021 年 6 月发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。虽然这种情况在过去一段时间里有所遏制,但现在又卷土重来,而且破坏力明显升级。 网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,看起来非常像是微软的官方网站...
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了...
Hackernews 编译,转载请注明出处: QNAP网络连接存储(NAS)设备的用户报告了eCh0raix勒索软件(也称为QNAPCrypt)对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度,用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingCompute...