PlugX新变种感染250万主机
近日,网络安全公司Sekoia发现蠕虫病毒PlugX的新变种已经在全球范围感染了超过250万台主机。
老牌恶意软件藏身U盘
PlugX是有着十多年历史的老牌恶意软件(蠕虫病毒),最早可追溯到2008年,最初只被亚洲的黑客组织使用,主要针对政府、国防、技术和政治组织。2015年发生代码泄露后,PlugX被改造成大众化的流行黑客工具,被全球网络犯罪分子广泛使用,其中一些黑客组织将其与数字签名软件结合,用于实施侧加载加密的攻击载荷。
PlugX的最新变种增加了蠕虫组件,可通过U盘感染物理隔离系统。2023年派拓网络公司(PaloAltoNetwork)的Unit42团队在响应BlackBasta勒索软件攻击时,在VirusTotal扫描平台上发现了PlugX的一个新变种可通过U盘传播,并能将目标敏感文件隐藏在U盘中。
2023年3月,Sophos也报告了这种可通过USB自我传播的PlugX新变种,并称其已经“传播了半个地球”。
全球250万台主机中招,中美都是重灾区
六个月前,Seqoia的研究人员发现了一个被黑客废弃的PlugX恶意软件变种(Sinkhole)的命令和控制(C2)服务器。
在Seqoia联系托管公司并请求控制IP后,研究人员花费7美元获取了该服务器的IP地址45.142.166.xxx,并使用该IP获得了对服务器的shell访问权限。
分析人员设置了一个简单的Web服务器来模仿原始C2服务器的行为,捕获来自受感染主机的HTTP请求并观察流量的变化。
C2服务器的操作记录显示,每天有9-10万个主机发送请求,六个月内全球有近250万个独立IP连接到该服务器(下图):
研究人员发现,PlugX已传播到全球170个国家,但集中度较高,15个国家占感染总数的80%以上,其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。
研究人员强调,由于被废弃的PlugXC2服务器没有唯一标识符,这导致受感染主机的统计数字可能并不十分准确,因为:
许多受感染的工作站可以通过相同的IP地址连接
由于采用动态IP寻址,一个受感染系统可以连接多个IP地址
许多连接是通过VPN服务进行的,这可能使来源国家/地区的数据失真
两种杀毒方法
Sekoia建议各国网络安全团队和执法机构采取两种杀毒方法。
第一种方法是发送PlugX支持的自删除命令,该命令应将其从计算机中删除,而无需执行其他操作。但需要注意的是,因为PlugX新变种可通过USB设备传播,第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件,仍然存在重新感染的风险。
第二种方法较为复杂,需要在受感染的计算机上开发和部署自定义有效负载,从系统以及与其连接的受感染USB驱动器中删除PlugX。
Sekoia还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。
参考连接:
https://blog.sekoia.io/unplugging-plugx-sinkholing-the-plugx-usb-worm-botnet/
[超站]友情链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
随时掌握互联网精彩
- 1 习近平主席拉美之行高光时刻 7952573
- 2 央视曝光羽绒骗局!你的孩子可能在穿 7920817
- 3 叶嘉莹逝世 享年100岁 7857360
- 4 特色文旅释放消费“新”热潮 7781861
- 5 全网寻找的豫P7A525找到了 7633725
- 6 年底前你的工资卡或多这几笔钱 7575962
- 7 “最听劝的局长”拟获提拔 7419499
- 8 王楚钦横扫张本智和夺冠 7309272
- 9 女子称花12万整形后被说老了10岁 7287354
- 10 李子柒穿绿色唐朝襦裙太绝了 7172117