網(wǎng)絡(luò)安全公司 Doctor Web 研究人員近期發(fā)現(xiàn)黑客利用新型物聯(lián)網(wǎng)( IoT )僵尸網(wǎng)絡(luò) Linux.ProxyM 肆意發(fā)送釣魚(yú)郵件,旨在感染更多 Linux 設(shè)備、開(kāi)展 DDoS 匿名攻擊活動(dòng)。
調(diào)查顯示,該僵尸網(wǎng)絡(luò)自 2017 年 5 月以來(lái)一直處于活躍狀態(tài),其感染 Linux.ProxyM 的設(shè)備數(shù)量已多達(dá) 1 萬(wàn)臺(tái)左右。然而,值得注意的是,僵尸網(wǎng)絡(luò) Linux.ProxyM 所分發(fā)的惡意軟件能夠在任何 Linux 設(shè)備(包括路由器、機(jī)頂盒與其他設(shè)備)上運(yùn)行、還可規(guī)避安全檢測(cè)。
目前,安全專(zhuān)家針對(duì)基于 x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000 與 SPARC 架構(gòu)的設(shè)備識(shí)別出兩款 Linux.ProxyM 木馬。一旦 Linux.ProxyM 木馬感染上述其中一臺(tái)設(shè)備,它都能夠連接至命令與控制(C&C)服務(wù)器,并下載兩個(gè)互聯(lián)網(wǎng)節(jié)點(diǎn)域名。如果用戶在第一個(gè)節(jié)點(diǎn)提供登錄憑證,那么跳轉(zhuǎn)至第二個(gè)節(jié)點(diǎn)時(shí)將通過(guò) C&C 服務(wù)器發(fā)送一個(gè)包含 SMTP 服務(wù)器地址命令,用于訪問(wèn)用戶登錄憑據(jù)、電子郵件地址和郵件內(nèi)容。此外,相關(guān)數(shù)據(jù)顯示,每臺(tái)受感染的設(shè)備平均每天可以發(fā)送 400 封這樣的釣魚(yú)郵件。
研究人員表示,雖然尚不清楚受感染設(shè)備總計(jì)數(shù)量,也不了解黑客真正的攻擊意圖,但目前巴西、美國(guó)、俄羅斯、印度等國(guó)普遍受到影響?,F(xiàn)今,由于物聯(lián)網(wǎng)攻擊活動(dòng)一直都是網(wǎng)絡(luò)犯罪分子的目標(biāo)焦點(diǎn),因此研究人員推測(cè),黑客在未來(lái)還將繼續(xù)擴(kuò)展 Linux 木馬所執(zhí)行的功能范圍,從而肆意開(kāi)展 DDoS 攻擊活動(dòng)。