在打击恶意软件的空前努力中,Sekoia 威胁检测与研究团队率先开展了一项活动,对感染 PlugX 蠕虫病毒的数千个系统进行消毒。该恶意软件与臭名昭著的 Mustang Panda 集团有关,通过受感染的闪存驱动器传播,对全球网络安全构成了重大威胁。
Sekoia 与来自 20 多个国家的国家计算机应急响应小组(CERT)和执法机构联手开展了这次行动,充分证明了协作性威胁情报和行动的威力。这次行动的目标是与臭名昭著的 Mustang Panda 威胁组织有关的 PlugX 变种,该组织以蠕虫能力和喜欢感染移动硬盘而闻名。
Sekoia 的征程始于 2023 年 9 月,当时他们控制了 PlugX 蠕虫使用的一个关键 IP 地址。这一突破使他们能够分析恶意软件的行为,并开发出消毒方法,他们在博客文章和 2024 年 BotConf 上的演讲中对此进行了详细介绍。
Sekoia 在他们的最新报告中解释说:“创建一个消毒过程要比设置一个简单的天坑复杂得多。”为了推动这一复杂的过程,Sekoia 开发了一个用户友好型界面,使每个参与国都能:
- 访问关键统计数据: 深入了解其境内受损资产的情况。
- 精确定位消毒目标: 选择特定的自治系统、CIDR 块或 IP 地址进行有针对性的清理。
- 启动全国范围的消毒: 轻松启动全面消毒操作。
为确保安全并将潜在的副作用降至最低,该活动采用了自删除命令作为主要的消毒方法。Sekoia 的天坑作为一个中央指挥点,用这种自毁有效载荷响应受感染机器的请求。
这一开创性行动的结果不言自明:
- 34 个国家收到了天坑日志,以确定其管辖范围内被入侵的网络。
- 22 个国家对消毒过程表示了浓厚的兴趣。
- 10 个国家在强有力的法律框架支持下积极参与了消毒行动。
Sekoia 报告说:“对我们来说,这次消毒行动是第一次,是主权消毒概念的证明。这次行动成功解除了 5,539 个 IP 地址的威胁,共发送了 59,475 个消毒有效载荷。”
发表评论
您还未登录,请先登录。
登录