The Hacker News 網(wǎng)站披露，名為 MyloBot 的僵尸網(wǎng)絡正在席卷全球，已經(jīng)成功破壞數(shù)以千計的網(wǎng)絡系統(tǒng)。據(jù)悉，受害目標大部分位于印度、美國、印度尼西亞和伊朗。

MyloBot 僵尸網(wǎng)絡早已縱橫網(wǎng)絡江湖多年

2017 年，MyloBot 僵尸網(wǎng)絡出現(xiàn)在網(wǎng)絡世界，2018 年首次被 Deep Instinct 記錄在案，經(jīng)過幾年的發(fā)展，已經(jīng)具備很強的反分析技術和下載功能。BitSight 公司曾表示，目前 MyloBot 每天感染超過 5 萬臺設備。

2018 年 11月，Lumen 黑蓮花實驗室指出，Mylobot 僵尸網(wǎng)絡之所以危險，是因為其能夠在感染主機后下載和執(zhí)行任何類型的有效載荷，此舉意味著它可以隨時下載攻擊者想要的任何其它類型惡意軟件。

2022 年，業(yè)內(nèi)人士發(fā)現(xiàn) Mylobot 惡意軟件從被入侵的端點處發(fā)送了勒索電子郵件，作為尋求一場超過 2700 美元比特幣的網(wǎng)絡犯罪活動中一部分。

已知，MyloBot 僵尸網(wǎng)絡采用了多階段序列來解包并啟動機器人惡意軟件，值得注意的是，在試圖聯(lián)系指揮和控制（C2）服務器之前，它還會在受害系統(tǒng)中“靜默”14 天，以躲避檢測。

BitSight 表示，MyloBot 僵尸網(wǎng)絡主要功能是建立與嵌入惡意軟件中的硬編碼 C2 域的連接，并等待進一步的指令。當 Mylobot 收到 C2 的指令時，會將受感染的計算機轉換為代理，被感染的機器將此時能夠處理許多連接，并轉發(fā)通過命令和控制服務器發(fā)送的流量。

后續(xù)，MyloBot 的更新迭代利用了一個下載器，該下載器反過來聯(lián)系 C2 服務器，后者回應一個包含檢索MyloBot 有效載荷鏈接的加密消息。

最后，安全專家強調，MyloBot 并不是單獨作案，可能是網(wǎng)絡犯罪事件的一部分。之所以這樣說，是因為對僵尸網(wǎng)絡 C2 基礎設施相關的某個 IP 地址進行反向 DNS 查找時，發(fā)現(xiàn)與名為“clients.bhproxys[.]com”的域名有聯(lián)系。