根据 Bitsight 的最新发现,一个名为 Socks5Systemz 的恶意僵尸网络正在为一个名为 PROXY.AM 的代理服务提供支持。该公司的安全研究团队在上周发布的一份分析报告中说:“代理恶意软件和服务使其他类型的犯罪活动成为可能,为威胁行为者增加了不受控制的匿名层,因此他们可以利用受害者系统链执行各种恶意活动。”在披露这一消息仅仅几周前,Lumen Technologies 公司的 Black Lotus 实验室团队披露,被另一个名为 Ngioweb 的恶意软件入侵的系统正被滥用为 NSOCKS 的住宅代理服务器。Socks5Systemz 最初早在 2013 年 3 月就在地下网络犯罪活动中被公布,BitSight 以前曾记录它被部署为网络攻击的一部分,目标是分发 PrivateLoader、SmokeLoader 和 Amadey。该恶意软件的主要目的是将受损系统变成代理出口节点,然后为其他行为者(通常是那些希望掩盖其攻击来源的网络犯罪分子)做广告。自 2016 年以来,非法代理服务一直存在。受感染主机数量最多的国家是印度、印度尼西亚、乌克兰、阿尔及利亚、越南、俄罗斯、土耳其、巴西、墨西哥、巴基斯坦、泰国、菲律宾、哥伦比亚、埃及、美国、阿根廷、孟加拉国、摩洛哥和尼日利亚。据说到 2024 年 1 月,僵尸网络的规模已经猛增到日均约 25 万台机器,但目前的估计是 8.5 万到 10 万台不等。截至发稿时,PROXY.AM 声称它拥有来自 31 个不同国家的 80,888 个代理节点。“2023 年 12 月,威胁行为者失去了对 Socks5Systemz V1 的控制,不得不使用完全不同的[命令与控制]基础设施从头开始重建僵尸网络–我们称之为 Socks5Systemz V2 僵尸网络,”Bitsight 解释了数量减少的原因。“由于 Socks5Systemz 是由持续存在于系统中的加载器(如 Privateloader、SmokeLoader 或 Amadey)投放的,因此新的分发活动被用来用新的有效载荷替换旧的感染。”PROXY.AM (proxy[.]am 和 proxyam[.]one)自称提供 “精英、私人和匿名代理服务器”,价格在 126 美元/月(无限包)和 700 美元/月(VIP 包)之间。Trend Micro 的一份报告详细描述了威胁行为者正在试图利用 Gafgyt 僵尸网络恶意软件针对配置错误的 Docker 远程 API 服务器实施分布式拒绝服务(DDoS)攻击。虽然 Gafgyt 有针对易受攻击的物联网设备的记录,但该恶意软件对 SSH 弱密码和 Docker 实例的利用表明其攻击范围正在扩大。安全研究员苏尼尔-巴蒂(Sunil Bharti)说:“我们注意到,攻击者以公开暴露的配置错误的Docker远程API服务器为目标,通过创建基于合法‘高山’Docker镜像的Docker容器来部署恶意软件。在部署 Gafgyt 恶意软件的同时,攻击者还使用 Gafgyt 僵尸网络恶意软件感染受害者。”事实证明,对于那些希望部署加密货币矿工、窃取数据并将其纳入僵尸网络进行 DDoS 攻击的威胁行为者来说,云错误配置是一个极具吸引力的攻击面。莱顿大学(Leiden University)和代尔夫特理工大学(TU Delft)的一组研究人员进行了一项新的实证分析,发现多达 215 个实例暴露了敏感凭据,这些凭据可能会让攻击者在未经授权的情况下访问数据库、云基础设施和第三方 API 等服务。大部分实例位于美国、印度、澳大利亚、英国、巴西和韩国,涉及信息技术(IT)、零售、金融、教育、媒体和医疗保健等多个行业。莫达特小组说:“这些发现强调了加强系统管理和警惕监督以防止数据泄露的迫切需要。泄露这些机密的影响可能是巨大的,从完全控制组织的安全基础设施,到冒名顶替和渗透到受保护的云基础设施。”
