Linux.ProxyM僵尸网络再次发起疯狂攻击,感染过万台设备

Docker Web的安全专家发现了一个新的IoT僵尸网络,它使用了Linux.ProxyM恶意软件,正试图攻击网站。

Linux.ProxyM是一款Linux恶意软件,它在受感染的设备上通过SOCKS代理服务器创建一个代理网络,用于转发恶意流量,掩盖其真实来源。

根据Dr. Web的说法,Linux.ProxyM最初于今年2月被发现,在5月下旬其活动达到顶峰,到7月份感染Linux.ProxyM的设备数量已经达到了1万台。

Linux.ProxyM能够兼容多种体系架构,包括 x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000, and SPARC。

Linux ProxyM是Linux平台的恶意程序,它在受感染的设备上启动SOCKS代理服务器。网络罪犯可以用它来发起匿名的破坏行动。

已知的这种恶意软件可以运行在x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000和SPARC这些架构中。这意味着Linux ProxyM几乎可以感染任何Linux设备,包括路由器、机顶盒和其他类似的设备。

今年9月,使用Linux.ProxyM组建的僵尸网络最初用于发送垃圾邮件。据估计,每台被感染设备,每天发送近400封邮件。

后来,攻击者使用僵尸网络发送钓鱼邮件,新的邮件以“DocuSign”的名义发送,这家公司提供电子签名技术和数字交易管理服务,以便于电子合同和签名文件的交换。

邮件包含了一个指向伪造的DocuSign网站登录页面的链接,网络罪犯利用这种模式来欺骗受害者输入其密码。然后,受害者将被重定向到真正的DocuSign登录页面。

到12月,攻击者开始使用Linux.ProxyM僵尸网络攻击网站,包括SQL注入、XSS(跨站脚本)和本地文件包含(LFI)。被攻击的网站包含游戏服务器、论坛和其他主题资源网站、甚至战斗民族网站(原文中战斗民族网站是单独列出的==)。

在12月7日,Dr. Web的安全研究人员观察到Linux.ProxyM僵尸网络发起的攻击次数达到了2万次。而在大约一个月前,这个僵尸网络每天发动的攻击次数接近4万次。

“虽然Linux.ProxyM仅有一个功能 - 作为代理服务器。但是,网络罪犯在不断的寻找新的利用方式,将其用于非法行为,并表现出对物联网设备越来越大的兴趣。”

来源:securityaffairs

本文由看雪翻译小组 ljcnaix 编译

往期热门内容推荐

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20171212B0OAY600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券