The Hacker News 網(wǎng)站披露，名為 MyloBot 的僵尸網(wǎng)絡(luò)正在席卷全球，已經(jīng)成功破壞數(shù)以千計(jì)的網(wǎng)絡(luò)系統(tǒng)。據(jù)悉，受害目標(biāo)大部分位于印度、美國、印度尼西亞和伊朗。

MyloBot 僵尸網(wǎng)絡(luò)早已縱橫網(wǎng)絡(luò)江湖多年

2017 年，MyloBot 僵尸網(wǎng)絡(luò)出現(xiàn)在網(wǎng)絡(luò)世界，2018 年首次被 Deep Instinct 記錄在案，經(jīng)過幾年的發(fā)展，已經(jīng)具備很強(qiáng)的反分析技術(shù)和下載功能。BitSight 公司曾表示，目前 MyloBot 每天感染超過 5 萬臺(tái)設(shè)備。

2018 年 11月，Lumen 黑蓮花實(shí)驗(yàn)室指出，Mylobot 僵尸網(wǎng)絡(luò)之所以危險(xiǎn)，是因?yàn)槠淠軌蛟诟腥局鳈C(jī)后下載和執(zhí)行任何類型的有效載荷，此舉意味著它可以隨時(shí)下載攻擊者想要的任何其它類型惡意軟件。

2022 年，業(yè)內(nèi)人士發(fā)現(xiàn) Mylobot 惡意軟件從被入侵的端點(diǎn)處發(fā)送了勒索電子郵件，作為尋求一場超過 2700 美元比特幣的網(wǎng)絡(luò)犯罪活動(dòng)中一部分。

已知，MyloBot 僵尸網(wǎng)絡(luò)采用了多階段序列來解包并啟動(dòng)機(jī)器人惡意軟件，值得注意的是，在試圖聯(lián)系指揮和控制（C2）服務(wù)器之前，它還會(huì)在受害系統(tǒng)中“靜默”14 天，以躲避檢測。

BitSight 表示，MyloBot 僵尸網(wǎng)絡(luò)主要功能是建立與嵌入惡意軟件中的硬編碼 C2 域的連接，并等待進(jìn)一步的指令。當(dāng) Mylobot 收到 C2 的指令時(shí)，會(huì)將受感染的計(jì)算機(jī)轉(zhuǎn)換為代理，被感染的機(jī)器將此時(shí)能夠處理許多連接，并轉(zhuǎn)發(fā)通過命令和控制服務(wù)器發(fā)送的流量。

后續(xù)，MyloBot 的更新迭代利用了一個(gè)下載器，該下載器反過來聯(lián)系 C2 服務(wù)器，后者回應(yīng)一個(gè)包含檢索MyloBot 有效載荷鏈接的加密消息。

最后，安全專家強(qiáng)調(diào)，MyloBot 并不是單獨(dú)作案，可能是網(wǎng)絡(luò)犯罪事件的一部分。之所以這樣說，是因?yàn)閷┦W(wǎng)絡(luò) C2 基礎(chǔ)設(shè)施相關(guān)的某個(gè) IP 地址進(jìn)行反向 DNS 查找時(shí)，發(fā)現(xiàn)與名為“clients.bhproxys[.]com”的域名有聯(lián)系。