HackerNews 编译,转载请注明出处:
网络安全研究人员披露,与俄罗斯防弹主机服务商Proton66关联的IP地址近期出现“大规模扫描、凭证暴力破解及漏洞利用尝试”激增现象。根据Trustwave SpiderLabs上周发布的两阶段分析报告,自2025年1月8日以来检测到该活动针对全球组织机构。
安全研究人员Pawel Knapczyk与Dawid Nesterowicz指出:“IP段45.135.232.0/24和45.140.17.0/24在大规模扫描与暴力破解方面表现尤为活跃。部分涉事IP地址此前未参与过恶意活动或已休眠超过两年。”
经评估,俄罗斯自治系统Proton66与另一个名为PROSPERO的自治系统存在关联。法国安全公司Intrinsec去年详细披露了这两个系统与俄语网络犯罪论坛中以Securehost和BEARHOST名义销售的防弹服务的联系。包括GootLoader和SpyNote在内的多个恶意软件家族已在Proton66上托管其命令与控制(C2)服务器和钓鱼页面。今年2月初,安全记者Brian Krebs揭露PROSPERO已开始通过俄罗斯杀毒软件厂商卡巴斯基实验室(莫斯科)运营的网络进行路由。
然而,卡巴斯基否认与PROSPERO存在合作,并表示“通过卡巴斯基运营网络进行路由并不默认意味着提供该公司服务,因为卡巴斯基的自治系统(AS)路径可能作为技术前缀出现在与其合作并提供DDoS服务的电信供应商网络中。”
Trustwave最新分析显示,2025年2月从Proton66某个IP段(193.143.1[.]65)发起的恶意请求试图利用多个最新高危漏洞:
CVE-2025-0108:Palo Alto Networks PAN-OS软件的认证绕过漏洞
CVE-2024-41713:Mitel MiCollab中NuPoint统一消息组件(NPM)的输入验证不足漏洞
CVE-2024-10914:D-Link NAS的命令注入漏洞
CVE-2024-55591与CVE-2025-24472:Fortinet FortiOS的认证绕过漏洞
值得注意的是,Fortinet FortiOS两个漏洞的利用行为已被归因于某初始访问中间商Mora_001,该实体被发现投放名为SuperBlack的新型勒索软件。
该网络安全公司表示还观察到多个与Proton66关联的恶意软件活动,旨在传播XWorm、StrelaStealer及名为WeaXor的勒索软件等家族。
另一项显著活动涉及利用与Proton66关联IP地址“91.212.166[.]21”的遭入侵WordPress网站,将安卓设备用户重定向至仿冒Google Play应用列表的钓鱼页面,诱骗用户下载恶意APK文件。这些重定向通过托管在Proton66 IP地址的恶意JavaScript实现。对虚假应用商店域名的分析表明,该活动专门针对法语、西班牙语和希腊语用户。
研究人员解释称:“重定向脚本经过混淆处理,并对受害者实施多项检查,例如排除爬虫程序与VPN/代理用户。通过ipify.org查询获取用户IP地址,随后通过ipinfo.io验证VPN或代理的存在。最终仅在检测到安卓浏览器时实施重定向。”
在某个Proton66 IP地址中还托管着可部署XWorm恶意软件的ZIP压缩包,专门通过社会工程手段针对韩语聊天室用户。攻击第一阶段为Windows快捷方式(LNK)文件,执行PowerShell命令后运行Visual Basic脚本,进而从同一IP地址下载Base64编码的.NET DLL文件。该DLL继续下载并加载XWorm二进制程序。
Proton66关联基础设施还被用于实施针对德语用户的钓鱼邮件活动,传播可与C2服务器(193.143.1[.]205)通信的信息窃取软件StrelaStealer。最后,WeaXor勒索软件(Mallox的修订版本)的组件被发现与Proton66网络中的C2服务器(“193.143.1[.]139”)通信。
建议各组织封锁所有与Proton66及疑似关联的香港服务商Chang Way Technologies相关的无类别域间路由(CIDR)范围,以消除潜在威胁。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
