近日,网络安全公司 Sekoia 发现蠕虫病毒 PlugX 的新变种已经在全球范围感染了超过 250 万台主机。
老牌恶意软件藏身U盘
PlugX 是有着十多年历史的老牌恶意软件(蠕虫病毒),最早可追溯到 2008 年,最初只被亚洲的黑客组织使用,主要针对政府、国防、技术和政治组织。2015 年发生代码泄露后,PlugX 被改造成大众化的流行黑客工具,被全球网络犯罪分子广泛使用,其中一些黑客组织将其与数字签名软件结合,用于实施侧加载加密的攻击载荷。
PlugX 的最新变种增加了蠕虫组件,可通过 U 盘感染物理隔离系统。2023 年派拓网络公司(PaloAltoNetwork)的 Unit42 团队在响应 BlackBasta 勒索软件攻击时,在 VirusTotal 扫描平台上发现了PlugX 的一个新变种可通过 U 盘传播,并能将目标敏感文件隐藏在 U 盘中。
2023 年 3 月,Sophos 也报告了这种可通过 USB 自我传播的 PlugX 新变种,并称其已经“传播了半个地球”。
全球 250万台主机中招,中美都是重灾区
六个月前,Seqoia 的研究人员发现了一个被黑客废弃的 PlugX 恶意软件变种(Sinkhole)的命令和控制(C2)服务器。
在 Seqoia 联系托管公司并请求控制 IP 后,研究人员花费 7 美元获取了该服务器的 IP 地址 45.142.166.xxx ,并使用该 IP 获得了对服务器的 shell 访问权限。
分析人员设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为,捕获来自受感染主机的 HTTP 请求并观察流量的变化。
C2 服务器的操作记录显示,每天有 9-10 万个主机发送请求,六个月内全球有近 250 万个独立 IP 连接到该服务器(下图):
研究人员发现,PlugX 已传播到全球 170 个国家,但集中度较高,15 个国家占感染总数的 80% 以上,其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。
研究人员强调,由于被废弃的 PlugXC2 服务器没有唯一标识符,这导致受感染主机的统计数字可能并不十分准确,因为:
- 许多受感染的工作站可以通过相同的 IP 地址连接
- 由于采用动态 IP 寻址,一个受感染系统可以连接多个 IP 地址
- 许多连接是通过 VPN 服务进行的,这可能使来源国家/地区的数据失真
两种杀毒方法
Sekoia 建议各国网络安全团队和执法机构采取两种杀毒方法。
第一种方法是发送 PlugX 支持的自删除命令,该命令应将其从计算机中删除,而无需执行其他操作。但需要注意的是,因为 PlugX 新变种可通过 USB 设备传播,第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件,仍然存在重新感染的风险。
第二种方法较为复杂,需要在受感染的计算机上开发和部署自定义有效负载,从系统以及与其连接的受感染 USB 驱动器中删除 PlugX。
Sekoia 还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。
转自GoUpSec,原文链接:https://www.goupsec.com/news/16239.html
暂无评论内容