臭名昭著的墨子僵尸網(wǎng)絡(Mozibotnet)一度被認為在一次執(zhí)法行動后基本失效,現(xiàn)在又以一種強大的新化身AndroxghOst重新出現(xiàn)。AndroxghOst集成了墨子的物聯(lián)網(wǎng)(loT)重點載荷,對針對Web服務器和易受攻擊的物聯(lián)網(wǎng)設備進行攻擊。
AndroxghOst自2024年1月以來一直活躍,在這期間,僵尸網(wǎng)絡擴大了武器庫,針對一系列軟件漏洞,包括思科ASA、Atlassian JIRA和PHP框架中的漏洞。
據(jù)CloudSEK的威脅研究團隊報告指出,在研究AndroxghOst僵尸網(wǎng)絡中發(fā)現(xiàn)了重大進展,揭示了其對多個漏洞的利用,以及與Mozi僵尸網(wǎng)絡進行操作整合的可能性,這種操作整合使AndroxghOst能夠利用Web應用程序漏洞和物聯(lián)網(wǎng)漏洞,展示了僵尸網(wǎng)絡能夠快速適應新漏洞的能力。
CloudSEK分析師指出,這兩個僵尸網(wǎng)絡似乎共享一個共同的命令和控制(C2)基礎設施,這表明可能是同一個威脅行為者正在策劃這場統(tǒng)一行動。那就意味著這樣的高度整合操作將會增強僵尸網(wǎng)絡的攻擊覆蓋范圍和效率。
到目前為止,已有超過500臺設備被感染。AndroxghOst的復蘇使CloudSEK組織處于高度防御狀態(tài),為了應對這一威脅,CloudSEK的報告提供了一份全面的防御策略清單:
1.檢查日志中的異常Web請求:尋找?guī)в幸馔鈪?shù)(如wget和curl)的HTTP請求,這些請求可能表明存在命令注入嘗試。
2.定期更新軟件:確保所有物聯(lián)網(wǎng)設備、服務器和軟件平臺都運行最新的補丁,以防止已知漏洞被利用。
3.檢查臨時目錄:AndroxghOst通常使用/tmp和/var/tmp目錄來存儲惡意腳本。這些目錄中最近更改或具有可執(zhí)行權(quán)限的文件應標記為進行進一步檢查。
4.實施網(wǎng)絡監(jiān)控:監(jiān)控異常的出站鏈接或大量出站流量,因為受感染的設備可能參與僵尸網(wǎng)絡活動或DDoS攻擊。
CloudSEK的發(fā)現(xiàn)強調(diào)了采取這些措施的緊迫性,并警告說,不采取行動可能會被這種強大的僵尸網(wǎng)絡利用。
及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)
本文來源:互聯(lián)網(wǎng)
如涉及侵權(quán),請及時與我們聯(lián)系,我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話:400-869-9193 負責人:張明