本文来自微信公众号“GoUpSec”。
近日,网络安全公司Sekoia发现蠕虫病毒PlugX的新变种已经在全球范围感染了超过250万台主机。
老牌恶意软件藏身U盘
PlugX是有着十多年历史的老牌恶意软件(蠕虫病毒),最早可追溯到2008年,最初只被亚洲的黑客组织使用,主要针对政府、国防、技术和政治组织。2015年发生代码泄露后,PlugX被改造成大众化的流行黑客工具,被全球网络犯罪分子广泛使用,其中一些黑客组织将其与数字签名软件结合,用于实施侧加载加密的攻击载荷。
PlugX的最新变种增加了蠕虫组件,可通过U盘感染物理隔离系统。2023年派拓网络公司(PaloAltoNetwork)的Unit42团队在响应BlackBasta勒索软件攻击时,在VirusTotal扫描平台上发现了PlugX的一个新变种可通过U盘传播,并能将目标敏感文件隐藏在U盘中。
2023年3月,Sophos也报告了这种可通过USB自我传播的PlugX新变种,并称其已经“传播了半个地球”。
全球250万台主机中招,中美都是重灾区
六个月前,Seqoia的研究人员发现了一个被黑客废弃的PlugX恶意软件变种(Sinkhole)的命令和控制(C2)服务器。
在Seqoia联系托管公司并请求控制IP后,研究人员花费7美元获取了该服务器的IP地址45.142.166.xxx,并使用该IP获得了对服务器的shell访问权限。
分析人员设置了一个简单的Web服务器来模仿原始C2服务器的行为,捕获来自受感染主机的HTTP请求并观察流量的变化。
C2服务器的操作记录显示,每天有9-10万个主机发送请求,六个月内全球有近250万个独立IP连接到该服务器(下图):
研究人员发现,PlugX已传播到全球170个国家,但集中度较高,15个国家占感染总数的80%以上,其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。
研究人员强调,由于被废弃的PlugXC2服务器没有唯一标识符,这导致受感染主机的统计数字可能并不十分准确,因为:
●许多受感染的工作站可以通过相同的IP地址连接
●由于采用动态IP寻址,一个受感染系统可以连接多个IP地址
●许多连接是通过VPN服务进行的,这可能使来源国家/地区的数据失真
两种杀毒方法
Sekoia建议各国网络安全团队和执法机构采取两种杀毒方法。
第一种方法是发送PlugX支持的自删除命令,该命令应将其从计算机中删除,而无需执行其他操作。但需要注意的是,因为PlugX新变种可通过USB设备传播,第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件,仍然存在重新感染的风险。
第二种方法较为复杂,需要在受感染的计算机上开发和部署自定义有效负载,从系统以及与其连接的受感染USB驱动器中删除PlugX。
Sekoia还向各国国家计算机紧急响应小组(CERT)提供了执行“主权消毒”所需的信息。
