首页 > 安全 > 正文

新的Modet僵尸网络迅速增长,+ 130K独特的机器人遍布179个国家

最后更新 :2022.03.10

退货后几个月,Modtet僵尸网络已经感染了超过130,000多个独特的机器人,遍布179个国家。

Model僵尸网络在2021年11月201日以来,自复活以来仍在增长,并感染了约130,000个宿主。

2021年初,全球执法和司法机构进行了联合行动,命名为操作瓢虫,扰乱了Model僵尸网络。在调查人员在国际协调行动中控制了其基础设施。

这一行动是荷兰,德国,美国,英国,法国,立陶宛,加拿大和乌克兰在荷兰,立陶宛,加拿大和乌克兰的联合努力的结果,其中国际活动由Europol和NBSP协调;欧洲欧洲欧洲局。

执法机构能够接管至少700台服务器,作为Model Botnet基础设施的一部分。FBI收集了数百万of电子邮件地址在他们的恶意软件活动中使用的是清理操作的一部分。

; TA542。臭名昭着的银行银行特洛伊木马还用于提供其他恶意代码,例如  qbot  qbot 特洛伊木马,或赎金软件如  conti,  rollock,  ryuk,和  egregor。

2021年11月2021年的研究人员来自 多个网络安全公司([Cryptolaemus],  [GDATA],和  [Advanced Intel]) 据报道,威胁演员正在使用The  Trickbot 恶意软件在受感染的设备上删除一个被感染的装载机。专家们追踪了旨在使用Trickbot的基础设施重建Moderet僵尸网络作为运算阵列的运动。

报告的BS

研究人员指出,新的ModeTetnet支持新功能以避免检测和分析,例如网络流量的使用加密以及进程列表的分离到自己的模块中。

新版本使用椭圆曲线加密(ECC),使用公钥执行加密和用于执行数据验证的单独算法。

新版本也能收集有关的其他信息受感染的主人。专家们还报告了2月至3月下的C2池的显着增长4.

虽然黑色莲花实验室于2019年5月追踪了300多名独特的情绪C2S,但自复活以来大约四个月的独特C2s的数量大约是200。作为图2反映了,当MODETET于2021年11月在线回来时,它用一级较小但相对一致的一级池1 C2S这样做了。阅读专家发布的报告。在过去的几个月里,新的Modet基础架构中的功能是缺少BOT C2的缺席,这是通过在用户路由器上打开一个端口来接收一个UPnP模块的机器人,该模块使得通过打开用户路由器上的端口将其允许它允许它到代理流量来充当C2情绪机器人到更高层次的C2。

大多数Modet C2S位于美国和德国,其中十大国家的其余部分由C2S增加10个国家,包括法国,巴西,泰国,新加坡,印度尼西亚,坎塔,英国和印度。
机器人的增长和分布是Modeet在恢复其一次庞大的基础设施方面取得进展的重要指标。每个机器人都是令人垂涎的网络的潜在立足点,并提供机会部署钴袭击或最终被促进到BOT C2。黑罗托斯实验室的结论。Emotet botnet C2 growth

- END -

看更多