一个名为Necro的基于python的“自我复制,多形态机器人”已经进行了新的升级,这被视为试图提高其感染脆弱系统和逃避检测的机会。
“尽管该机器人最初是在今年早些时候被发现的,但最近的活动显示了对该机器人的许多变化,从不同的命令和控制(C2)通信和增加了新的传播漏洞,最明显的是VMWare vSphere、SCO OpenServer、维斯塔控制面板和基于smb的漏洞,没有出现在代码的早期迭代,”思科塔洛斯的研究人员在今天发表的一篇深度研究中说。
据说早在2015年,Necro(又名N3Cr0m0rPh)就在开发中,针对Linux和Windows设备,加强活动观察到今年年初的恶意软件运动被称为“FreakOut”被发现利用漏洞在网络附加存储(NAS)设备上运行的Linux机器将机器指派到僵尸网络发动分布式拒绝服务(DDoS)攻击和矿业Monero cryptocurrency。
除了它的DDoS和rat类功能来下载和启动额外的有效载荷外,Necro还通过安装一个隐藏其在系统中的存在的rootkit来设计隐形。此外,该机器人还注入恶意代码,从远程服务器检索并执行受感染系统上的HTML和PHP文件中基于javascript的矿工。
先前的恶意软件版本利用了Liferay Portal、Laminas Project和TerraMaster的漏洞,而5月11日和18日观察到的最新版本则利用了命令注入漏洞,目标是Vesta控制面板、ZeroShell 3.9.0、SCO OpenServer 5.0.7、以及一个影响VMWare vCenter (CVE-2021-21972)的远程代码执行缺陷,该公司在2月份修复了该缺陷。
5月18日发布的一个僵尸网络版本还包含了EternalBlue (CVE-2017-0144)和EternalRomance (CVE-2017-0145)漏洞,这两个漏洞都滥用了Windows SMB协议中的远程代码执行漏洞。这些新添加的内容强调了恶意软件的作者正在积极开发新的方法,利用公开披露的漏洞进行传播。
同样值得注意的是添加了一个多态引擎,以在每次迭代中改变其源代码,同时保持原始算法的完整,以“基本”的尝试来限制被检测到的机会。
Talos研究人员表示:“Necro Python机器人显示了一个actor,它遵循各种web应用程序上远程命令执行漏洞的最新发展,并将新的漏洞纳入机器人。”“这增加了它传播和感染系统的机会。用户需要确保定期对所有应用程序应用最新的安全更新,而不仅仅是操作系统。”
极牛网精选文章《死灵Python恶意软件升级与新的漏洞和加密采矿能力》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/14704.html