The Hacker News 网站披露,名为 MyloBot 的僵尸网络正在席卷全球,已经成功破坏数以千计的网络系统。据悉,受害目标大部分位于印度、美国、印度尼西亚和伊朗。
MyloBot 僵尸网络早已纵横网络江湖多年
2017 年,MyloBot 僵尸网络出现在网络世界,2018 年首次被 Deep Instinct 记录在案,经过几年的发展,已经具备很强的反分析技术和下载功能。BitSight 公司曾表示,目前 MyloBot 每天感染超过 5 万台设备。
2018 年 11月,Lumen 黑莲花实验室指出,Mylobot 僵尸网络之所以危险,是因为其能够在感染主机后下载和执行任何类型的有效载荷,此举意味着它可以随时下载攻击者想要的任何其它类型恶意软件。
2022 年,业内人士发现 Mylobot 恶意软件从被入侵的端点处发送了勒索电子邮件,作为寻求一场超过 2700 美元比特币的网络犯罪活动中一部分。
已知,MyloBot 僵尸网络采用了多阶段序列来解包并启动机器人恶意软件,值得注意的是,在试图联系指挥和控制(C2)服务器之前,它还会在受害系统中“静默”14 天,以躲避检测。
BitSight 表示,MyloBot 僵尸网络主要功能是建立与嵌入恶意软件中的硬编码 C2 域的连接,并等待进一步的指令。当 Mylobot 收到 C2 的指令时,会将受感染的计算机转换为代理,被感染的机器将此时能够处理许多连接,并转发通过命令和控制服务器发送的流量。
后续,MyloBot 的更新迭代利用了一个下载器,该下载器反过来联系 C2 服务器,后者回应一个包含检索MyloBot 有效载荷链接的加密消息。
最后,安全专家强调,MyloBot 并不是单独作案,可能是网络犯罪事件的一部分。之所以这样说,是因为对僵尸网络 C2 基础设施相关的某个 IP 地址进行反向 DNS 查找时,发现与名为“clients.bhproxys[.]com”的域名有联系。
