BadBox 僵尸网络卷土重来感染19万台设备
网安公司 BitSight 发布博文称,BadBox 恶意僵尸网络正在全球范围内扩散,并已感染了海信T963智能手机和 Yandex 电视等19.2万台设备。安卓设备一旦被 BadBox 感染,将被转换为住宅代理,用于广告欺诈或出租给网络犯罪分子进行攻击等非法活动。德国联邦信息安全办公室上周采取行动,切断了三万台设备与该僵尸网络的连接,但其规模仍在持续增长。研究人员攻克 BadBox 的一台命令和控制服务器,发现在24小时内有超过16万个独立 IP 地址尝试连接,且该数字还在持续增长。受感染设备主要位于俄罗斯、中国、印度、白俄罗斯、巴西和乌克兰。
—— Bleepingcomputer
黑客入侵数千台 TP-Link 路由器用于长达数年的账户接管攻击
微软周四警告称,为中国政府工作的黑客 Storm-0940 正在使用由数千台路由器、摄像头和其他联网设备组成的僵尸网络,对微软 Azure 云服务的用户进行难以检测的密码分布式测试攻击。该恶意网络几乎完全由 TP-Link 路由器组成,于 2023 年 10 月首次被一名研究人员记录下来,并将其命名为 CovertNetwork-1658。该网络分布在地理上分散,在高峰期有超过 16,000 台受感染设备。因为它在端口 7777 上暴露了恶意软件,也被命名为 Botnet-7777 。 该黑客活动在最近几个月有所减少,但这并不是因为威胁行为者限制了其运营,相反该僵尸网络正在“利用修改后的设备指纹获取新的基础设施”。
—— 微软博客
泰国调查网络犯罪团伙逾10亿泰铢的资产
泰国警方正在调查一名涉嫌经营“911 S5”的僵尸网络的王云禾及其同伙通过网络犯罪活动转移到该国的价值超过10亿泰铢的财产和资产。泰国中央调查局周六发表声明称,王云禾和其他同谋投资了多家公司的房地产和股票。中央调查局与美国当局合作,称在对春武里府四个地点的搜查中,查获了王云禾至少8800万泰铢的资产,包括现金、名表、一辆汽车和土地契约。中国公民王云禾于5月24日在新加坡被捕,罪名是涉嫌部署恶意软件以及创建和运营名为“911 S5”的住宅代理服务。泰国反洗钱机构称,一旦美国官员提出正式请求,泰国当局将寻求法院命令暂时扣押王云禾及其同伙的资产。包括银行账户、加密货币账户、汽车、土地和公寓。
—— 彭博社
美国财政部对与 911 S5 僵尸网络有关的网络犯罪网络实施制裁
当地时间28日,美国财政部宣布对涉嫌参与恶意僵尸网络活动的三名中国公民和三家位于泰国的公司实施制裁。这三名中国公民分别是 王云禾(Yunhe Wang 音译)、刘京平(Jingping Liu 音译)和程彦尼(Yanni Cheng 音译)。以及在泰国注册的公司 Lily Suites Company Limited、Spicy Code Company Limited 和 Tulip Biz Pattaya Group Company Limited。
美国财政部表示,911 S5 僵尸网络是一种恶意住宅代理服务,它攻击和入侵计算机,并允许网络犯罪分子使用这些被入侵的计算机来代理互联网连接,从而隐藏自己的网络踪迹。该僵尸网络入侵了大约1900万个IP地址,并促使其用户提交了数万份与冠状病毒援助、救济和经济安全法案计划相关的欺诈性申请,给美国政府造成了数十亿美元的损失。
—— 美国财政部
360 发文披露中国巨型僵尸网络
今天,360Netlab 在博客发布文章《一个藏在我们身边的巨型僵尸网络 Pink》,文章提到:
Pinkbot 是我们六年以来观测到最大的僵尸网络,其攻击目标主要是 mips 光猫设备,在360Netlab的独立测量中,总感染量超过160万,其中 96% 位于中国。
PinkBot 具有很强的技术能力:
1、PinkBot 架构设计具备很好的健壮性,它能够通过多种方式(通过第三方服务分发配置信息/通过 P2P 方式分发配置信息/通过 CNC 分发配置信息)自发寻址控制端,并对控制端通信有完备的校验,确保僵尸节点不会因某一个环节的阻杀而丢失或被接管;甚至对光猫固件做了多处改动后,还能确保光猫能够正常使用;
2、PinkBot对部分域名的解析查询采取了 DNS-Over-HTTPS 的方式,这个也是在传统BotNet中不太常见的一种手段;
3、在与相关厂商的屡次攻防博弈中,PinkBot 的运营者都占据了明显的对抗优势。
可以说,PinkBot 在整个过程中表现出了极强的针对性和专业性,各方面能力都很均衡,甚至有些可怕。
文章全文:https://blog.netlab.360.com/pinkbot/