臭名昭著的墨子僵尸網(wǎng)絡(luò)(Mozibotnet)一度被認(rèn)為在一次執(zhí)法行動(dòng)后基本失效，現(xiàn)在又以一種強(qiáng)大的新化身AndroxghOst重新出現(xiàn)。AndroxghOst集成了墨子的物聯(lián)網(wǎng)(loT)重點(diǎn)載荷，對針對Web服務(wù)器和易受攻擊的物聯(lián)網(wǎng)設(shè)備進(jìn)行攻擊。

AndroxghOst自2024年1月以來一直活躍，在這期間，僵尸網(wǎng)絡(luò)擴(kuò)大了武器庫，針對一系列軟件漏洞，包括思科ASA、Atlassian JIRA和PHP框架中的漏洞。

據(jù)CloudSEK的威脅研究團(tuán)隊(duì)報(bào)告指出，在研究AndroxghOst僵尸網(wǎng)絡(luò)中發(fā)現(xiàn)了重大進(jìn)展，揭示了其對多個(gè)漏洞的利用，以及與Mozi僵尸網(wǎng)絡(luò)進(jìn)行操作整合的可能性，這種操作整合使AndroxghOst能夠利用Web應(yīng)用程序漏洞和物聯(lián)網(wǎng)漏洞，展示了僵尸網(wǎng)絡(luò)能夠快速適應(yīng)新漏洞的能力。

CloudSEK分析師指出，這兩個(gè)僵尸網(wǎng)絡(luò)似乎共享一個(gè)共同的命令和控制(C2)基礎(chǔ)設(shè)施，這表明可能是同一個(gè)威脅行為者正在策劃這場統(tǒng)一行動(dòng)。那就意味著這樣的高度整合操作將會(huì)增強(qiáng)僵尸網(wǎng)絡(luò)的攻擊覆蓋范圍和效率。

到目前為止，已有超過500臺(tái)設(shè)備被感染。AndroxghOst的復(fù)蘇使CloudSEK組織處于高度防御狀態(tài)，為了應(yīng)對這一威脅，CloudSEK的報(bào)告提供了一份全面的防御策略清單:

1.檢查日志中的異常Web請求:尋找?guī)в幸馔鈪?shù)(如wget和curl)的HTTP請求，這些請求可能表明存在命令注入嘗試。

2.定期更新軟件:確保所有物聯(lián)網(wǎng)設(shè)備、服務(wù)器和軟件平臺(tái)都運(yùn)行最新的補(bǔ)丁，以防止已知漏洞被利用。

3.檢查臨時(shí)目錄:AndroxghOst通常使用/tmp和/var/tmp目錄來存儲(chǔ)惡意腳本。這些目錄中最近更改或具有可執(zhí)行權(quán)限的文件應(yīng)標(biāo)記為進(jìn)行進(jìn)一步檢查。

4.實(shí)施網(wǎng)絡(luò)監(jiān)控:監(jiān)控異常的出站鏈接或大量出站流量，因?yàn)槭芨腥镜脑O(shè)備可能參與僵尸網(wǎng)絡(luò)活動(dòng)或DDoS攻擊。

CloudSEK的發(fā)現(xiàn)強(qiáng)調(diào)了采取這些措施的緊迫性，并警告說，不采取行動(dòng)可能會(huì)被這種強(qiáng)大的僵尸網(wǎng)絡(luò)利用。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明