Docker Web的安全专家发现了一个新的IoT僵尸网络,它使用了Linux.ProxyM恶意软件,正试图攻击网站。
Linux.ProxyM是一款Linux恶意软件,它在受感染的设备上通过SOCKS代理服务器创建一个代理网络,用于转发恶意流量,掩盖其真实来源。
根据Dr. Web的说法,Linux.ProxyM最初于今年2月被发现,在5月下旬其活动达到顶峰,到7月份感染Linux.ProxyM的设备数量已经达到了1万台。
Linux.ProxyM能够兼容多种体系架构,包括 x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000, and SPARC。
Linux ProxyM是Linux平台的恶意程序,它在受感染的设备上启动SOCKS代理服务器。网络罪犯可以用它来发起匿名的破坏行动。
已知的这种恶意软件可以运行在x86、MIPS、MIPSEL、PowerPC、ARM、Superh、Motorola 68000和SPARC这些架构中。这意味着Linux ProxyM几乎可以感染任何Linux设备,包括路由器、机顶盒和其他类似的设备。
今年9月,使用Linux.ProxyM组建的僵尸网络最初用于发送垃圾邮件。据估计,每台被感染设备,每天发送近400封邮件。
后来,攻击者使用僵尸网络发送钓鱼邮件,新的邮件以“DocuSign”的名义发送,这家公司提供电子签名技术和数字交易管理服务,以便于电子合同和签名文件的交换。
邮件包含了一个指向伪造的DocuSign网站登录页面的链接,网络罪犯利用这种模式来欺骗受害者输入其密码。然后,受害者将被重定向到真正的DocuSign登录页面。
到12月,攻击者开始使用Linux.ProxyM僵尸网络攻击网站,包括SQL注入、XSS(跨站脚本)和本地文件包含(LFI)。被攻击的网站包含游戏服务器、论坛和其他主题资源网站、甚至战斗民族网站(原文中战斗民族网站是单独列出的==)。
在12月7日,Dr. Web的安全研究人员观察到Linux.ProxyM僵尸网络发起的攻击次数达到了2万次。而在大约一个月前,这个僵尸网络每天发动的攻击次数接近4万次。
“虽然Linux.ProxyM仅有一个功能 - 作为代理服务器。但是,网络罪犯在不断的寻找新的利用方式,将其用于非法行为,并表现出对物联网设备越来越大的兴趣。”
来源:securityaffairs
本文由看雪翻译小组 ljcnaix 编译
