研究人員最近在美國(guó)發(fā)現(xiàn)了一件不尋常的事，在美國(guó)注冊(cè)的十多臺(tái)服務(wù)器上，托管著10個(gè)不同的惡意軟件家族！美國(guó)執(zhí)法機(jī)構(gòu)一旦發(fā)現(xiàn)這種情況就會(huì)迅速查封服務(wù)器，但這么多服務(wù)器居然成了漏網(wǎng)之魚!

據(jù)外媒報(bào)道，研究人員發(fā)現(xiàn)10個(gè)不同的惡意軟件家族托管在美國(guó)注冊(cè)的十多臺(tái)服務(wù)器上，它們通過(guò)疑似Necurs的僵尸網(wǎng)絡(luò)進(jìn)行傳播。網(wǎng)絡(luò)安全公司Bromium的研究人員表示，他們?cè)?018年5月至2019年3月期間一直監(jiān)測(cè)與該基礎(chǔ)設(shè)施相關(guān)的活動(dòng)。

這10個(gè)惡意軟件包括5個(gè)銀行木馬家族（Dridex、Gootkit、IcedID、Nymaim和Trickbot）、2個(gè)勒索軟件變種（Gandcrab和Hermes），以及3個(gè)信息竊取器（Fareit、Neutrino和Azorult）。其中有11臺(tái)服務(wù)器屬于一家位于美國(guó)內(nèi)華達(dá)州的公司，該公司提供VPS托管服務(wù)。

在美國(guó)的基礎(chǔ)設(shè)施上發(fā)現(xiàn)這些惡意軟件是不尋常的，因?yàn)槊绹?guó)執(zhí)法機(jī)構(gòu)通常會(huì)在發(fā)現(xiàn)惡意基礎(chǔ)設(shè)施存在時(shí)迅速查封它們。

網(wǎng)絡(luò)安全研究人員表示，服務(wù)器上的惡意軟件家族已經(jīng)在多個(gè)大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)中傳播。

電子郵件和托管已與命令與控制系統(tǒng)分離，這表明這些服務(wù)器被不同的組織使用，其中一些負(fù)責(zé)電子郵件和托管，而另一些負(fù)責(zé)管理惡意軟件。

在追蹤了與惡意基礎(chǔ)設(shè)施相關(guān)的垃圾郵件和釣魚活動(dòng)后，Bromium表示，在所有檢測(cè)到的攻擊中，電子郵件是主要的攻擊載體，包含惡意VBA的Microsoft Word文件是首選的武器化文檔。最受歡迎的釣魚誘餌是求職申請(qǐng)，其次是支付請(qǐng)求。網(wǎng)絡(luò)釣魚活動(dòng)以美國(guó)為主要目標(biāo)，誘餌郵件通常假冒成著名的美國(guó)機(jī)構(gòu)。

此外，惡意軟件樣本的快速編譯以及托管速度表明，惡意軟件開(kāi)發(fā)商和分銷基礎(chǔ)設(shè)施運(yùn)營(yíng)商之間存在著某些聯(lián)系。比如Hermes和Dridex的編譯和托管只需幾個(gè)小時(shí)，最長(zhǎng)不超過(guò)24小時(shí)。

研究人員表示，此次活動(dòng)中的用戶名和密碼是“username”和“password”，提交文件的名為“test1.exe”，所以很可能只是一次試驗(yàn)。而且Dridex活動(dòng)停滯了幾個(gè)月，這可能預(yù)示著更大規(guī)模的Dridex活動(dòng)即將到來(lái)。