研究人員最近在美國發(fā)現(xiàn)了一件不尋常的事，在美國注冊的十多臺服務(wù)器上，托管著10個不同的惡意軟件家族！美國執(zhí)法機(jī)構(gòu)一旦發(fā)現(xiàn)這種情況就會迅速查封服務(wù)器，但這么多服務(wù)器居然成了漏網(wǎng)之魚!

據(jù)外媒報道，研究人員發(fā)現(xiàn)10個不同的惡意軟件家族托管在美國注冊的十多臺服務(wù)器上，它們通過疑似Necurs的僵尸網(wǎng)絡(luò)進(jìn)行傳播。網(wǎng)絡(luò)安全公司Bromium的研究人員表示，他們在2018年5月至2019年3月期間一直監(jiān)測與該基礎(chǔ)設(shè)施相關(guān)的活動。

這10個惡意軟件包括5個銀行木馬家族（Dridex、Gootkit、IcedID、Nymaim和Trickbot）、2個勒索軟件變種（Gandcrab和Hermes），以及3個信息竊取器（Fareit、Neutrino和Azorult）。其中有11臺服務(wù)器屬于一家位于美國內(nèi)華達(dá)州的公司，該公司提供VPS托管服務(wù)。

在美國的基礎(chǔ)設(shè)施上發(fā)現(xiàn)這些惡意軟件是不尋常的，因?yàn)槊绹鴪?zhí)法機(jī)構(gòu)通常會在發(fā)現(xiàn)惡意基礎(chǔ)設(shè)施存在時迅速查封它們。

網(wǎng)絡(luò)安全研究人員表示，服務(wù)器上的惡意軟件家族已經(jīng)在多個大規(guī)模網(wǎng)絡(luò)釣魚活動中傳播。

電子郵件和托管已與命令與控制系統(tǒng)分離，這表明這些服務(wù)器被不同的組織使用，其中一些負(fù)責(zé)電子郵件和托管，而另一些負(fù)責(zé)管理惡意軟件。

在追蹤了與惡意基礎(chǔ)設(shè)施相關(guān)的垃圾郵件和釣魚活動后，Bromium表示，在所有檢測到的攻擊中，電子郵件是主要的攻擊載體，包含惡意VBA的Microsoft Word文件是首選的武器化文檔。最受歡迎的釣魚誘餌是求職申請，其次是支付請求。網(wǎng)絡(luò)釣魚活動以美國為主要目標(biāo)，誘餌郵件通常假冒成著名的美國機(jī)構(gòu)。

此外，惡意軟件樣本的快速編譯以及托管速度表明，惡意軟件開發(fā)商和分銷基礎(chǔ)設(shè)施運(yùn)營商之間存在著某些聯(lián)系。比如Hermes和Dridex的編譯和托管只需幾個小時，最長不超過24小時。

研究人員表示，此次活動中的用戶名和密碼是“username”和“password”，提交文件的名為“test1.exe”，所以很可能只是一次試驗(yàn)。而且Dridex活動停滯了幾個月，這可能預(yù)示著更大規(guī)模的Dridex活動即將到來。