收藏 [登录/注册] 欢迎
榕基门户网及子站
联系我们
  • 福建榕基软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
您的当前位置:首页 > 技术支持 > 安全公告

蠕虫爆发,PlugX新变种感染250万主机

  近日,蠕虫病毒PlugX的新变种已经在全球范围感染了超过250万台主机。
  PlugX是有着十多年历史的老牌恶意软件(蠕虫病毒),最早可追溯到2008年,最初只被亚洲的黑客组织使用,主要针对政府、国防、技术和政治组织。2015年发生代码泄露后,PlugX被改造成大众化的流行黑客工具,被全球网络犯罪分子广泛使用,其中一些黑客组织将其与数字签名软件结合,用于实施侧加载加密的攻击载荷。
  PlugX的最新变种增加了蠕虫组件,可通过U盘感染物理隔离系统。2023年派拓网络公司(PaloAltoNetwork)的Unit42团队在响应BlackBasta勒索软件攻击时,在VirusTotal扫描平台上发现了PlugX的一个新变种可通过U盘传播,并能将目标敏感文件隐藏在U盘中。2023年3月,Sophos也报告了这种可通过USB自我传播的PlugX新变种,并称其已经“传播了半个地球”。

全球250万台主机中招,中美都是重灾区
  六个月前,研究人员发现了一个被黑客废弃的PlugX恶意软件变种(Sinkhole)的命令和控制(C2)服务器。在联系托管公司并请求控制IP后,研究人员花费7美元获取了该服务器的IP地址45.142.166.xxx,并使用该IP获得了对服务器的shell访问权限。分析人员设置了一个简单的Web服务器来模仿原始C2服务器的行为,捕获来自受感染主机的HTTP请求并观察流量的变化。C2服务器的操作记录显示,每天有9-10万个主机发送请求,六个月内全球有近250万个独立IP连接到该服务器。
  研究人员发现,PlugX已传播到全球170个国家,但集中度较高,15个国家占感染总数的80%以上,其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国是重灾区。
  研究人员强调,由于被废弃的PlugXC2服务器没有唯一标识符,这导致受感染主机的统计数字可能并不十分准确,因为:许多受感染的工作站可以通过相同的IP地址连接;由于采用动态IP寻址,一个受感染系统可以连接多个IP地址;许多连接是通过VPN服务进行的,这可能使来源国家/地区的数据失真。

两种杀毒方法
  建议各国网络安全团队和执法机构采取两种杀毒方法。
  第一种方法是发送PlugX支持的自删除命令,该命令应将其从计算机中删除,而无需执行其他操作。但需要注意的是,因为PlugX新变种可通过USB设备传播,第一种方法无法清除这些“离线”病毒。即使从主机中删除了恶意软件,仍然存在重新感染的风险。
  第二种方法较为复杂,需要在受感染的计算机上开发和部署自定义有效负载,从系统以及与其连接的受感染USB驱动器中删除PlugX。