臭名昭著的墨子僵尸网络(Mozibotnet)一度被认为在一次执法行动后基本失效,现在又以一种强大的新化身AndroxghOst重新出现。AndroxghOst集成了墨子的物联网(loT)重点载荷,对针对Web服务器和易受攻击的物联网设备进行攻击。
AndroxghOst自2024年1月以来一直活跃,在这期间,僵尸网络扩大了武器库,针对一系列软件漏洞,包括思科ASA、Atlassian JIRA和PHP框架中的漏洞。
据CloudSEK的威胁研究团队报告指出,在研究AndroxghOst僵尸网络中发现了重大进展,揭示了其对多个漏洞的利用,以及与Mozi僵尸网络进行操作整合的可能性,这种操作整合使AndroxghOst能够利用Web应用程序漏洞和物联网漏洞,展示了僵尸网络能够快速适应新漏洞的能力。
CloudSEK分析师指出,这两个僵尸网络似乎共享一个共同的命令和控制(C2)基础设施,这表明可能是同一个威胁行为者正在策划这场统一行动。那就意味着这样的高度整合操作将会增强僵尸网络的攻击覆盖范围和效率。
到目前为止,已有超过500台设备被感染。AndroxghOst的复苏使CloudSEK组织处于高度防御状态,为了应对这一威胁,CloudSEK的报告提供了一份全面的防御策略清单:
1.检查日志中的异常Web请求:寻找带有意外参数(如wget和curl)的HTTP请求,这些请求可能表明存在命令注入尝试。
2.定期更新软件:确保所有物联网设备、服务器和软件平台都运行最新的补丁,以防止已知漏洞被利用。
3.检查临时目录:AndroxghOst通常使用/tmp和/var/tmp目录来存储恶意脚本。这些目录中最近更改或具有可执行权限的文件应标记为进行进一步检查。
4.实施网络监控:监控异常的出站链接或大量出站流量,因为受感染的设备可能参与僵尸网络活动或DDoS攻击。
CloudSEK的发现强调了采取这些措施的紧迫性,并警告说,不采取行动可能会被这种强大的僵尸网络利用。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照