死灵Python恶意软件升级与新的漏洞和加密采矿能力

一个名为Necro的基于python的“自我复制，多形态机器人”已经进行了新的升级，这被视为试图提高其感染脆弱系统和逃避检测的机会。

“尽管该机器人最初是在今年早些时候被发现的，但最近的活动显示了对该机器人的许多变化，从不同的命令和控制(C2)通信和增加了新的传播漏洞，最明显的是VMWare vSphere、SCO OpenServer、维斯塔控制面板和基于smb的漏洞，没有出现在代码的早期迭代，”思科塔洛斯的研究人员在今天发表的一篇深度研究中说。

据说早在2015年，Necro(又名N3Cr0m0rPh)就在开发中，针对Linux和Windows设备，加强活动观察到今年年初的恶意软件运动被称为“FreakOut”被发现利用漏洞在网络附加存储(NAS)设备上运行的Linux机器将机器指派到僵尸网络发动分布式拒绝服务(DDoS)攻击和矿业Monero cryptocurrency。

除了它的DDoS和rat类功能来下载和启动额外的有效载荷外，Necro还通过安装一个隐藏其在系统中的存在的rootkit来设计隐形。此外，该机器人还注入恶意代码，从远程服务器检索并执行受感染系统上的HTML和PHP文件中基于javascript的矿工。

先前的恶意软件版本利用了Liferay Portal、Laminas Project和TerraMaster的漏洞，而5月11日和18日观察到的最新版本则利用了命令注入漏洞，目标是Vesta控制面板、ZeroShell 3.9.0、SCO OpenServer 5.0.7、以及一个影响VMWare vCenter (CVE-2021-21972)的远程代码执行缺陷，该公司在2月份修复了该缺陷。

5月18日发布的一个僵尸网络版本还包含了EternalBlue (CVE-2017-0144)和EternalRomance (CVE-2017-0145)漏洞，这两个漏洞都滥用了Windows SMB协议中的远程代码执行漏洞。这些新添加的内容强调了恶意软件的作者正在积极开发新的方法，利用公开披露的漏洞进行传播。

同样值得注意的是添加了一个多态引擎，以在每次迭代中改变其源代码，同时保持原始算法的完整，以“基本”的尝试来限制被检测到的机会。

Talos研究人员表示:“Necro Python机器人显示了一个actor，它遵循各种web应用程序上远程命令执行漏洞的最新发展，并将新的漏洞纳入机器人。”“这增加了它传播和感染系统的机会。用户需要确保定期对所有应用程序应用最新的安全更新，而不仅仅是操作系统。”