殭屍網路Aisuru最近兩年不斷發動大規模攻擊,後續於去年底中國資安公司奇安信公布相關調查結果,指出駭客另起爐灶,綁架電視盒與數位電視組成另一個大型殭屍網路Kimwolf,後續專精偵測代理伺服器流量的資安新創Synthient指出,駭客透過江蘇艾迪信息科技代理伺服器服務IPIDEA、Plainproxies Byteconnect等代理伺服器環境,出售受害裝置的頻寬牟利,本週有資安公司表示,他們已追蹤Kimwolf近半年,陸續對其C2伺服器進行封鎖,阻礙此殭屍網路的活動。
1月15日資安公司Lumen旗下的Black Lotus實驗室於職場社群網站LinkedIn發布部落格文章,指出在去年8月殭屍網路RapperBot沒落之後,隨即Aisuru就成為全球最大的殭屍網路,存取C2節點的機器人數量短時間內急劇增加,從每天5萬個機器人擴張至20萬個,後續在10月初看到Kimwolf出現,對此,該公司採取行動,將C2節點的流量導向空路由(null-routed),在4個月的時間裡已對超過550臺C2節點採取行動,他們也與執法機關和業界夥伴合作,並公布追蹤的結果。
Lumen表示,他們在9月初觀察到Aisuru後臺的C2的IP位址65.108.5[.]46,進一步調查發現,攻擊來自加拿大的固定代理伺服器的SSH連線;後續該公司於10月初發現另一個C2網域,並看到駭客先後代管Aisuru與Kimwolf殭屍網路病毒的ELF執行檔,接著他們在7天內Kimwolf綁架的受害裝置(機器人)數量增加3倍,於當月中旬達到80萬臺,而且,這些被綁架的裝置流量,大部分都透過單一固定代理伺服器(Residential Proxy)服務出售。到了10月20日至11月6日,Lumen偵測到有多個固定代理伺服器出現高流量,因而引起他們的注意。
根據對Aisuru在9月中旬規格增加的觀察,Lumen發現駭客從少數固定代理伺服器服務對受害裝置下手,後續他們掌握Kimwolf的運作模式,於是從10月開始針對發現的C2採取空路由處理,擾亂此殭屍網路的運作,其中一個初期被干擾的C2伺服器,駭客大約花費了半天才恢復運作。
該公司根據Synthient的調查結果,確認Kimwolf挾持特定代理伺服器服務,並循此追蹤攻擊來源,採取主動策略限制Kimwolf的運作狀態,並導致駭客的營運陷入困境。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12