一个名为MyloBot的复杂僵尸网络已经危害了数千个系统,其中大部分位于印度、美国、印度尼西亚和伊朗。
这是根据BitSight的新发现。BitSight表示,它“目前每天都会看到5万多个独特的感染系统”,低于2020年25万台独特主机的最高水平。 此外,对MyloBot基础设施的分析还发现了与名为BHProxies的住宅代理服务的连接,表明受损的机器正在被后者使用。 MyloBot于2017年出现在威胁领域,2018年,DeepInstinct首次将其记录在案,呼吁它的反分析技术和作为下载机的能力。
“MyloBot之所以危险,是因为它在感染主机后能够下载和执行任何类型的有效载荷,”Lumen的黑莲花实验室(Black Lotus Labs)在2018年11月表示。“这意味着它可以在任何时候下载攻击者想要的任何其他类型的恶意软件。” 去年,该恶意软件被观察到从被黑客攻击的端点发送勒索电子邮件,这是一场寻求2700多美元比特币的经济动机运动的一部分。
众所周知,MyloBot采用多级序列来解包并启动机器人恶意软件。值得注意的是,在试图联系命令与控制(C2)服务器以避开检测之前,它也会闲置14天。 僵尸网络的主要功能是建立与嵌入恶意软件中的硬编码C2域的连接,并等待进一步的指示。 BitSight说:“当Mylobot收到C2的指令时,它会将受感染的计算机转换为代理。”“受感染的计算机将能够处理通过命令和控制服务器发送的许多连接和中继通信。” 该恶意软件的后续迭代利用了一个下载器,该下载器反过来联系C2服务器,后者以包含检索MyloBot有效载荷的链接的加密消息进行响应。
MyloBot可能是更大的东西的一部分的证据源于对与僵尸网络的C2基础设施相关的IP地址之一的反向DNS查询,显示了与一个名为“clients.bhproxies【.】com”的域名的关系。 这家总部位于波士顿的网络安全公司表示,它于2018年11月开始下沉MyloBot,并继续看到僵尸网络随着时间的推移而演变。