法国司法当局与欧洲刑警组织合作,启动了一项所谓的“消毒行动”,以清除一种名为PlugX的已知恶意软件的受感染主机。
巴黎检察官办公室Parquet de Paris表示,该倡议于7月18日启动,预计将持续“几个月”。
它进一步表示,位于法国,马耳他,葡萄牙,克罗地亚,斯洛伐克和奥地利的大约一百名受害者已经从清理工作中受益。
近三个月前,法国网络安全公司 Sekoia 披露,它于 2023 年 9 月花费 7 美元获取 IP 地址,这是一个与 PlugX 木马相连的命令和控制 (C2) 服务器。它还指出,每天有近 100,000 个唯一的公共 IP 地址向被扣押的域发送 PlugX 请求。
PlugX(又名 Korplug)是一种远程访问木马 (RAT),至少自 2008 年以来被 China-nexus 威胁行为者广泛使用,以及 Gh0st RAT 和 ShadowPad 等其他恶意软件系列。
该恶意软件通常使用 DLL 侧载技术在受感染的主机中启动,允许威胁行为者执行任意命令、上传/下载文件、枚举文件和收集敏感数据。
“这个后门,最初是由赵继斌(又名。WHG),在整个过程中以不同的变体进化,“Sekoia今年4月初说。“PlugX构建器在几个入侵集之间共享,其中大多数归因于与中国国家安全部有联系的幌子公司。”
Sekoia设计了一种删除PlugX的解决方案,该公司表示,具有USB分发机制的恶意软件变体带有自删除命令(“0x1005”),以从受感染的工作站中删除自身,尽管目前无法将其从USB设备中删除。
“首先,这种蠕虫具有存在于气隙网络上的能力,这使得这些感染超出了我们的能力范围,”它说。“其次,也许更值得注意的是,PlugX蠕虫可以在没有连接到工作站的情况下长时间存在于受感染的USB设备上。
鉴于从系统中远程擦除恶意软件涉及的法律复杂性,该公司进一步指出,它将决定推迟到国家计算机应急响应小组 (CERT)、执法机构 (LEA) 和网络安全机构。
“根据 Sekoia.io 的报告,法国司法当局启动了消毒行动,以拆除由 PlugX 蠕虫控制的僵尸网络。PlugX影响了全球数百万受害者,“Sekoia告诉The Hacker News。 ”由 Sekoia.io TDR团队开发的消毒解决方案是通过欧洲刑警组织向伙伴国家提出的,目前正在部署。
“我们很高兴与法国(巴黎检察官办公室J3节、警察、宪兵队和ANSSI)和国际(欧洲刑警组织和第三国警察部队)参与的行为者开展富有成效的合作,以采取行动打击长期的恶意网络活动。”
发表评论
您还未登录,请先登录。
登录