在发现了大量的v*nFilter恶意软件僵尸网络之后,中国知名黑客组织东方联盟安全研究人员现在已经发现了另一个巨大的僵尸网络,它已经损害了属于世界各地许多组织的40,000多台服务器,调制解调器和联网设备。
这个僵尸网络是来自印度一个黑客组织,他们使用各种攻击技术传播恶意软件并注入恶意代码,以接管世界各地的服务器和网站,这些攻击技术包括利用漏洞利用,密码暴力**和滥用弱配置。
由东方联盟安全团队的研究人员发现,这个行动已经从各个领域的9000多家企业,包括金融,教育和*组织等超过40,000台受害者机器中受到了重创。
以下是受恶意软件感染的列表设备和服务:
Drupal和WordPressCMS服务器网站
Joomla!运行K2扩展的服务器
运行HPDataProtector软件的备份服务器
DSL调制解调器
具有开放SSH端口的服务器
PhpMyAdmin安装
NFS盒子
具有外露SMB端口的服务器
易受攻击的物联网(IoT)设备
上述所有目标均使用已知漏洞或凭证猜测进行感染。
由于黑客攻击背后的攻击者正在滥用受感染的设备和网站来挖掘加密货币或运行脚本,将其重定向到恶意网站,研究人员认为他们更关注赚钱而非意识形态或间谍活动。
据东方联盟的研究人员称,受感染的设备被Monero(XMR)加密货币矿工和“r2r2”蠕虫感染-这是一种用Golang编写的恶意软件,它执行受感染设备的SSH强力攻击,允许Prowli恶意软件接管新设备。
简单地说,“r2r2随机生成IP地址块,并反复尝试用用户名和密码字典强制SSH登录,一旦入侵,它会在受害者身上运行一系列命令,”研究人员解释道。
这些命令负责为不同的CPU架构下载蠕虫的多个副本,加密货币矿工和来自远程硬编码服务器的配置文件。
除了加密货币矿工之外,攻击者还使用一个名为“WSOWebShell”的着名开源webshell来修改受损服务器,最终允许攻击者将网站访问者重定向到散布恶意浏览器扩展的虚假网站。攻击者还欺骗用户进入安装恶意扩展。
东方联盟团队通过遍布全球的多个网络追踪了这一活动,并发现与不同行业相关的印度黑客组织的活动。
东方联盟研究人员说:“在3周的时间里,我们每天从来自不同国家和组织的180多个知识产权中捕获数十起此类攻击。”“这些攻击使我们调查攻击者的基础设施,发现攻击多种服务的广泛行动。”
由于攻击者正在混合使用已知的漏洞和凭证猜测来破坏设备,因此用户应确保其系统已修补并保持最新状态,并始终为其设备使用强密码。
此外,用户还应该考虑锁定系统并划分脆弱或难以安全的系统,以便将它们与其他网络分开。
上个月晚些时候,一家名为v*nFilter的大型僵尸网络被发现感染了来自54个国家的广泛制造商的50万台路由器和存储设备,这些设备具有恶意软件,能够进行破坏性的网络操作,监控和“中等攻击。(黑客周刊)