MyKings僵尸網(wǎng)絡(luò)于2016年首次被發(fā)現(xiàn),是近年來最為猖獗的惡意軟件攻擊之一。
MyKings僵尸網(wǎng)絡(luò)也被稱為Smominru或DarkCloud僵尸網(wǎng)絡(luò),通過掃描互聯(lián)網(wǎng)尋找運(yùn)行過時(shí)軟件并暴露在互聯(lián)網(wǎng)上的Windows或Linux系統(tǒng)。
MyKings團(tuán)伙利用未打補(bǔ)丁的漏洞感染這些服務(wù)器,然后在他們的網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。
根據(jù)Guardicore、Proofpoint、奇虎360、Carbon Black和Sophos多年來發(fā)布的調(diào)查報(bào)告,都將MyKings描述為過去十年中創(chuàng)建的最大的惡意僵尸網(wǎng)絡(luò)之一,受感染的系統(tǒng)數(shù)量甚至超過50萬個(gè)。
在最初的幾年,僵尸網(wǎng)絡(luò)主要以在受感染主機(jī)上部署隱藏的Monero加密貨幣挖礦而聞名,其目的是為運(yùn)行僵尸網(wǎng)絡(luò)的團(tuán)隊(duì)獲取收益。
安全服務(wù)提供商Proofpoint公司在2018年1月發(fā)表的一份報(bào)告中估計(jì),根據(jù)他們在與該團(tuán)伙有關(guān)的一些錢包中發(fā)現(xiàn)的Monero基金,該團(tuán)伙當(dāng)時(shí)獲得的收入約為360萬美元。
這些年來,MyKings團(tuán)伙的運(yùn)作和惡意軟件技術(shù)都有所發(fā)展。僵尸網(wǎng)絡(luò)從一個(gè)簡單的黑客工具變成了一把邪惡的“瑞士軍刀”,它擁有各種模塊,可以在內(nèi)部網(wǎng)絡(luò)中移動(dòng),像蠕蟲一樣傳播,并執(zhí)行各種網(wǎng)絡(luò)攻擊。
MyKings剪貼板劫持者的崛起
Sophos公司在2019年發(fā)現(xiàn)的一個(gè)新模塊是一個(gè)“剪貼板劫持者”,當(dāng)用戶復(fù)制或剪切一個(gè)看起來像加密貨幣地址的文本字符串時(shí),就會(huì)感染其計(jì)算機(jī)的剪貼板。
Sophos說,當(dāng)用戶粘貼字符串時(shí),MyKings剪貼板劫持者篡改了粘貼操作,把用戶的地址換成了MyKings團(tuán)伙控制的地址。
Sophos早在2019年就指出,該模塊并沒有那么成功或被廣泛使用,通過劫持剪貼板竊取加密貨幣并不是MyKings最賺錢的業(yè)務(wù)。
但安全服務(wù)商Avast公司在本周發(fā)布的一份報(bào)告中表示,自從2019年以來,MyKings似乎改進(jìn)和完善了這個(gè)模塊,現(xiàn)在可以檢測20種不同加密貨幣的地址。
Avast公司研究人員表示,他們分析了6700多個(gè)MyKings惡意軟件樣本,識(shí)別并提取了該團(tuán)伙用于籌集資金的1300多個(gè)加密貨幣地址。
研究人員表示,在這些地址中,他們發(fā)現(xiàn)了超過2470萬美元的比特幣、以太幣和狗狗幣。
Avast公司惡意軟件分析師Jan Rubín和Jakub Kalo?表示:“我們認(rèn)為這個(gè)數(shù)字實(shí)際上更高,因?yàn)檫@一數(shù)額只包括在惡意軟件中使用的20多種加密貨幣的其中三種加密貨幣獲得的收入。”
這兩位分析師表示,獲得一些資金與MyKings過去的加密貨幣挖礦活動(dòng)有關(guān),但絕大多數(shù)似乎來自剪貼板劫持者。
Avast公司表示,自從2020年初以來,其防病毒軟件檢測并標(biāo)記了14.4萬臺(tái)計(jì)算機(jī)上的MyKings惡意軟件攻擊,但其攻擊的數(shù)量可能要高得多。
日前公布的調(diào)查報(bào)告徹底改變了惡意軟件分析師對這一僵尸網(wǎng)絡(luò)的看法。由于能夠進(jìn)行大規(guī)模的攻擊,并且從這些操作中獲利,大量受感染的主機(jī)可以下載并運(yùn)行MyKings團(tuán)伙希望的額外負(fù)載,因此僵尸網(wǎng)絡(luò)已經(jīng)成為當(dāng)今最危險(xiǎn)的惡意軟件操作之一。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。