臭名昭著的墨子僵尸網(wǎng)絡(luò)(Mozibotnet)一度被認(rèn)為在一次執(zhí)法行動后基本失效，現(xiàn)在又以一種強(qiáng)大的新化身AndroxghOst重新出現(xiàn)。AndroxghOst集成了墨子的物聯(lián)網(wǎng)(loT)重點載荷，對針對Web服務(wù)器和易受攻擊的物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊。

AndroxghOst自2024年1月以來一直活躍，在這期間，僵尸網(wǎng)絡(luò)擴(kuò)大了武器庫，針對一系列軟件漏洞，包括思科ASA、Atlassian JIRA和PHP框架中的漏洞。

據(jù)CloudSEK的威脅研究團(tuán)隊報告指出，在研究AndroxghOst僵尸網(wǎng)絡(luò)中發(fā)現(xiàn)了重大進(jìn)展，揭示了其對多個漏洞的利用，以及與Mozi僵尸網(wǎng)絡(luò)進(jìn)行操作整合的可能性，這種操作整合使AndroxghOst能夠利用Web應(yīng)用程序漏洞和物聯(lián)網(wǎng)漏洞，展示了僵尸網(wǎng)絡(luò)能夠快速適應(yīng)新漏洞的能力。

CloudSEK分析師指出，這兩個僵尸網(wǎng)絡(luò)似乎共享一個共同的命令和控制(C2)基礎(chǔ)設(shè)施，這表明可能是同一個威脅行為者正在策劃這場統(tǒng)一行動。那就意味著這樣的高度整合操作將會增強(qiáng)僵尸網(wǎng)絡(luò)的攻擊覆蓋范圍和效率。

到目前為止，已有超過500臺設(shè)備被感染。AndroxghOst的復(fù)蘇使CloudSEK組織處于高度防御狀態(tài)，為了應(yīng)對這一威脅，CloudSEK的報告提供了一份全面的防御策略清單:

1.檢查日志中的異常Web請求:尋找?guī)в幸馔鈪?shù)(如wget和curl)的HTTP請求，這些請求可能表明存在命令注入嘗試。

2.定期更新軟件:確保所有物聯(lián)網(wǎng)設(shè)備、服務(wù)器和軟件平臺都運行最新的補(bǔ)丁，以防止已知漏洞被利用。

3.檢查臨時目錄:AndroxghOst通常使用/tmp和/var/tmp目錄來存儲惡意腳本。這些目錄中最近更改或具有可執(zhí)行權(quán)限的文件應(yīng)標(biāo)記為進(jìn)行進(jìn)一步檢查。

4.實施網(wǎng)絡(luò)監(jiān)控:監(jiān)控異常的出站鏈接或大量出站流量，因為受感染的設(shè)備可能參與僵尸網(wǎng)絡(luò)活動或DDoS攻擊。

CloudSEK的發(fā)現(xiàn)強(qiáng)調(diào)了采取這些措施的緊迫性，并警告說，不采取行動可能會被這種強(qiáng)大的僵尸網(wǎng)絡(luò)利用。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明