[[429797]]

根據(jù)調(diào)查，一個(gè)名為MyKings的惡意僵尸網(wǎng)絡(luò)的團(tuán)伙通過 “剪貼板劫持者”勒索了2470多萬美元。

MyKings僵尸網(wǎng)絡(luò)于2016年首次被發(fā)現(xiàn)，是近年來最為猖獗的惡意軟件攻擊之一。

MyKings僵尸網(wǎng)絡(luò)也被稱為Smominru或DarkCloud僵尸網(wǎng)絡(luò)，通過掃描互聯(lián)網(wǎng)尋找運(yùn)行過時(shí)軟件并暴露在互聯(lián)網(wǎng)上的Windows或Linux系統(tǒng)。

MyKings團(tuán)伙利用未打補(bǔ)丁的漏洞感染這些服務(wù)器，然后在他們的網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。

根據(jù)Guardicore、Proofpoint、奇虎360、Carbon Black和Sophos多年來發(fā)布的調(diào)查報(bào)告，都將MyKings描述為過去十年中創(chuàng)建的最大的惡意僵尸網(wǎng)絡(luò)之一，受感染的系統(tǒng)數(shù)量甚至超過50萬個(gè)。

在最初的幾年，僵尸網(wǎng)絡(luò)主要以在受感染主機(jī)上部署隱藏的Monero加密貨幣挖礦而聞名，其目的是為運(yùn)行僵尸網(wǎng)絡(luò)的團(tuán)隊(duì)獲取收益。

安全服務(wù)提供商Proofpoint公司在2018年1月發(fā)表的一份報(bào)告中估計(jì)，根據(jù)他們?cè)谂c該團(tuán)伙有關(guān)的一些錢包中發(fā)現(xiàn)的Monero基金，該團(tuán)伙當(dāng)時(shí)獲得的收入約為360萬美元。

這些年來，MyKings團(tuán)伙的運(yùn)作和惡意軟件技術(shù)都有所發(fā)展。僵尸網(wǎng)絡(luò)從一個(gè)簡單的黑客工具變成了一把邪惡的“瑞士軍刀”，它擁有各種模塊，可以在內(nèi)部網(wǎng)絡(luò)中移動(dòng)，像蠕蟲一樣傳播，并執(zhí)行各種網(wǎng)絡(luò)攻擊。

MyKings剪貼板劫持者的崛起

Sophos公司在2019年發(fā)現(xiàn)的一個(gè)新模塊是一個(gè)“剪貼板劫持者”，當(dāng)用戶復(fù)制或剪切一個(gè)看起來像加密貨幣地址的文本字符串時(shí)，就會(huì)感染其計(jì)算機(jī)的剪貼板。

Sophos說，當(dāng)用戶粘貼字符串時(shí)，MyKings剪貼板劫持者篡改了粘貼操作，把用戶的地址換成了MyKings團(tuán)伙控制的地址。

Sophos早在2019年就指出，該模塊并沒有那么成功或被廣泛使用，通過劫持剪貼板竊取加密貨幣并不是MyKings最賺錢的業(yè)務(wù)。

但安全服務(wù)商Avast公司在本周發(fā)布的一份報(bào)告中表示，自從2019年以來，MyKings似乎改進(jìn)和完善了這個(gè)模塊，現(xiàn)在可以檢測20種不同加密貨幣的地址。

Avast公司研究人員表示，他們分析了6700多個(gè)MyKings惡意軟件樣本，識(shí)別并提取了該團(tuán)伙用于籌集資金的1300多個(gè)加密貨幣地址。

研究人員表示，在這些地址中，他們發(fā)現(xiàn)了超過2470萬美元的比特幣、以太幣和狗狗幣。

Avast公司惡意軟件分析師Jan Rubín和Jakub Kaloč表示：“我們認(rèn)為這個(gè)數(shù)字實(shí)際上更高，因?yàn)檫@一數(shù)額只包括在惡意軟件中使用的20多種加密貨幣的其中三種加密貨幣獲得的收入。”

這兩位分析師表示，獲得一些資金與MyKings過去的加密貨幣挖礦活動(dòng)有關(guān)，但絕大多數(shù)似乎來自剪貼板劫持者。

Avast公司表示，自從2020年初以來，其防病毒軟件檢測并標(biāo)記了14.4萬臺(tái)計(jì)算機(jī)上的MyKings惡意軟件攻擊，但其攻擊的數(shù)量可能要高得多。

日前公布的調(diào)查報(bào)告徹底改變了惡意軟件分析師對(duì)這一僵尸網(wǎng)絡(luò)的看法。由于能夠進(jìn)行大規(guī)模的攻擊，并且從這些操作中獲利，大量受感染的主機(jī)可以下載并運(yùn)行MyKings團(tuán)伙希望的額外負(fù)載，因此僵尸網(wǎng)絡(luò)已經(jīng)成為當(dāng)今最危險(xiǎn)的惡意軟件操作之一。