蠕蟲爆發，PlugX新變種感染250萬主機

     近日，網絡安全公司Sekoia發現蠕蟲病毒PlugX的新變種已經在全球範圍感染了超過250萬台主機。

老牌惡意軟件藏身U盤

PlugX是有着十多年曆史的老牌惡意軟件（蠕蟲病毒），最早可追溯到2008年，最初隻被亞洲的黑客組織使用，主要針對政府、國防、技術和政治組織。2015年發生(shēng)代碼洩露後，PlugX被改造成大(dà)衆化的流行黑客工(gōng)具，被全球網絡犯罪分(fēn)子廣泛使用，其中(zhōng)一(yī)些黑客組織将其與數字簽名軟件結合，用于實施側加載加密的攻擊載荷。

PlugX的最新變種增加了蠕蟲組件，可通過U盤感染物(wù)理隔離(lí)系統。2023年派拓網絡公司（PaloAltoNetwork）的Unit42團隊在響應BlackBasta勒索軟件攻擊時，在VirusTotal掃描平台上發現了PlugX的一(yī)個新變種可通過U盤傳播，并能将目标敏感文件隐藏在U盤中(zhōng)。

2023年3月，Sophos也報告了這種可通過USB自我(wǒ)傳播的PlugX新變種，并稱其已經“傳播了半個地球”。

全球250萬台主機中(zhōng)招，中(zhōng)美都是重災區

六個月前，Seqoia的研究人員(yuán)發現了一(yī)個被黑客廢棄的PlugX惡意軟件變種（Sinkhole）的命令和控制(C2)服務器。

在Seqoia聯系托管公司并請求控制IP後，研究人員(yuán)花費(fèi)7美元獲取了該服務器的IP地址45.142.166.xxx，并使用該IP獲得了對服務器的shell訪問權限。

分(fēn)析人員(yuán)設置了一(yī)個簡單的Web服務器來模仿原始C2服務器的行爲，捕獲來自受感染主機的HTTP請求并觀察流量的變化。

C2服務器的操作記錄顯示，每天有9-10萬個主機發送請求，六個月内全球有近250萬個獨立IP連接到該服務器（下(xià)圖）：

研究人員(yuán)發現，PlugX已傳播到全球170個國家，但集中(zhōng)度較高，15個國家占感染總數的80%以上，其中(zhōng)尼日利亞、印度、中(zhōng)國、伊朗、印度尼西亞、英國、伊拉克和美國是重災區。

研究人員(yuán)強調，由于被廢棄的PlugXC2服務器沒有唯一(yī)标識符，這導緻受感染主機的統計數字可能并不十分(fēn)準确，因爲：

許多受感染的工(gōng)作站可以通過相同的IP地址連接；

由于采用動态IP尋址，一(yī)個受感染系統可以連接多個IP地址；

許多連接是通過VPN服務進行的，這可能使來源國家/地區的數據失真；

兩種殺毒方法

Sekoia建議各國網絡安全團隊和執法機構采取兩種殺毒方法。

第一(yī)種方法是發送PlugX支持的自删除命令，該命令應将其從計算機中(zhōng)删除，而無需執行其他操作。但需要注意的是，因爲PlugX新變種可通過USB設備傳播，第一(yī)種方法無法清除這些“離(lí)線”病毒。即使從主機中(zhōng)删除了惡意軟件，仍然存在重新感染的風險。

第二種方法較爲複雜(zá)，需要在受感染的計算機上開(kāi)發和部署自定義有效負載，從系統以及與其連接的受感染USB驅動器中(zhōng)删除PlugX。

Sekoia還向各國國家計算機緊急響應小(xiǎo)組(CERT)提供了執行“主權消毒”所需的信息。

 

 

轉載自安全内參