Intezer的研究人员报告说,IPStorm僵尸网络已经演变为感染其他操作系统,包括Android,Linux和Mac设备。
IPStorm僵尸网络最初是在2019年5月发现的,当时它以Windows系统为目标,据Intezer的专家称,该僵尸网络已演变为感染其他平台,包括Android,Linux和Mac设备。
IPStorm僵尸网络继续感染世界各地的系统,其规模已从2019年5月的大约3,000个受感染的系统扩展到本月的13,500多个设备。
IPStorm名称是行星际风暴(InterPlanetary Storm)的缩写,它是行星际文件系统(IPFS)的缩写,是机器人使用的一种点对点协议,旨在掩盖恶意流量。
该机器人是用Go编程语言编写的,最初旨在仅危害Windows系统。6月,安全公司Bitdefender 和 梭子鱼 发现了新的IPStorm版本,这些版本也可以同时针对Android,Linux和Mac。
两家安全公司的专家报告说,IPStorm正在使用在线暴露的ADB(Android调试桥)端口感染Android系统。
该机器人还针对Linux和Mac设备,对SSH服务执行字典攻击,以猜测其用户名和密码。
建立连接后,恶意软件将通过比较被攻击服务器的主机名与字符串“ svr04”(这是Cowrie SSH honeypot的默认主机名)来检查蜜罐的存在。
“ Linux变种具有超过已记录的Windows版本的其他功能,例如使用SSH暴力作为向其他受害者传播的手段以及欺诈性网络活动滥用 Steam 游戏和广告平台。” 阅读Intezer的报告。“ Linux变体已经调整了一些功能,以解决此操作系统和Windows之间存在的根本差异。”
IPStorm僵尸程序还会杀死一系列可能会干扰其操作的进程。
专家注意到,Linux和Windows系统的IPStorm版本都实现了反向Shell机制。
“ Windows变体有一个名为powershell的软件包,其中包含用于实现反向Shell的功能。Linux变体中存在相同的软件包,但仅包含一个功能:storm_powershell__ptr_Backend_StartProcess。该功能用于在受感染的系统上获得反向外壳。” 继续分析。
奇怪的是,直到现在,研究人员还没有看到IPStorm运营商进行恶意活动,例如执行DDoS攻击或中继恶意流量。
“ IPStorm破坏的平台不仅暴露于其服务的后门,而且还会添加到IPStorm僵尸网络中,该网络试图传播给其他受害者。” Intezer总结。“ IPStorm背后的攻击者非常活跃,经常发布具有新功能和改进的更新版本,并扩展到多个不同的平台和体系结构。”
*编译:Domino
*来自:securityaffairs