研究人员发现了具有 250 万个唯一 IP 的 PlugX 恶意软件服务器

研究人员发现了 PlugX 恶意软件变体的命令和控制服务器，并在六个月内观察到来自唯一 IP 地址的连接超过 250 万个。

自去年 9 月以来，Sinkhole 服务器每天收到来自 170 多个国家受感染主机的 90,000 多个请求。

自 2023 年 9 月Sekoia捕获与特定 C2 相关的唯一 IP 地址以来，它已记录了来自 170 个国家/地区的超过 2,495,297 个与其 Sinkhole 交互的唯一 IP。

这一行动使安全公司能够分析流量、绘制感染地图、防止对客户端的恶意利用，并制定有效的消毒计划。

控制 PlugX 服务器

网络安全公司 Sekoia 的研究人员花费 7 美元获取了 IP 地址 45.142.166[.]112，该地址对应于威胁行为者不再使用的 PlugX 恶意软件变体的命令和控制 (C2) 服务器。

C2 IP 地址记录在 Sophos 2023 年 3 月的一份报告中，该报告涉及新版本的 PlugX，该版本已传播到“几乎相距半个地球的位置”。该恶意软件已经获得了通过 USB 设备进行自我传播的能力。

在 Sekoia 联系托管公司并请求控制 IP 后，研究人员使用该 IP 获得了对服务器的 shell 访问权限。

设置了一个简单的 Web 服务器来模仿原始 C2 服务器的行为，这使得分析人员能够捕获来自受感染主机的 HTTP 请求并观察流量的变化。

Sinkhole 操作显示，每天有 90,000 到 100,000 个系统发送请求，并且在六个月内有超过 250 万个来自世界各地的唯一 IP 连接到该服务器。

虽然该蠕虫病毒已传播到 170 个国家，但其中仅 15 个国家就占感染总数的 80% 以上，其中尼日利亚、印度、中国、伊朗、印度尼西亚、英国、伊拉克和美国位居榜首。

研究人员强调，陷入困境的 PlugX C2 没有唯一标识符，这导致受感染主机的计数不可靠：

许多受感染的工作站可以通过相同的 IP 地址退出
由于采用动态 IP 寻址，一个受感染的系统可以连接多个 IP 地址
许多连接是通过 VPN 服务进行的，这可能使来源国家/地区变得无关紧要
Sekoia 表示，从中国的角度来看，受害者研究可能表明了战略利益，因为大多数感染病例发生在参与中国“一带一路”全球基础设施发展战略的国家。

然而，研究人员指出，虽然这一结论看似合理，但“必须持保留态度，因为经过四年的活动，它有时间传播到各处。”

虽然 PlugX 与国家资助的活动有关，但多年来，该恶意软件已成为一种常见工具，并被各种威胁行为者使用，其中一些人参与了勒索软件等出于经济动机的活动。

消毒挑战

Sekoia 制定了两项策略来清洁到达污水坑的计算机，并呼吁国家网络安全团队和执法机构加入消毒工作。

一种方法是发送 PlugX 支持的自删除命令，该命令应将其从计算机中删除，而无需执行其他操作。

然而，即使恶意软件从主机中删除，仍然存在重新感染的风险，因为恶意软件通过 USB 设备传播，并且无法通过这种方式清除它们。

一种更复杂的方法涉及在受感染的计算机上开发和部署自定义有效负载，以从系统以及与其连接的受感染 USB 驱动器中删除 PlugX。

该网络安全公司已提出向国家计算机紧急响应小组 (CERT) 提供执行“主权消毒”所需的信息，以避免向其他人的工作站发送命令的法律复杂性。

无论采用哪种方法，Sekoia 指出，已经受到 PlugX 影响的气隙网络是无法触及的，这同样适用于未插入的受感染 USB 驱动器。

Sekoia 研究人员表示，用 PlugX 的 Sinkhole 版本构建的僵尸网络可以被视为“死亡”，因为恶意软件操作者不再受控制。

然而，“任何具有拦截能力的人”或能够控制 C2 服务器的人都可以通过向受感染的主机发送任意命令来恢复其恶意目的。

PlugX背景

PlugX 至少自 2008 年以来一直被用于间谍活动联系的组织的远程访问操作。它已被多个攻击组织用来针对政府、国防、技术和政治组织，主要在亚洲，后来扩展到西方。

随着时间的推移，PlugX 构建者在公共空间中出现，一些研究人员认为该恶意软件的源代码在 2015 年左右被泄露。这一点以及该工具收到多次更新的事实，使得很难将 PlugX 归因于特定的参与者或议程。

该恶意软件具有广泛的功能，包括命令执行、上传和下载文件、记录击键以及访问系统信息。

PlugX 的最新变体具有可蠕虫组件，使其能够通过感染 USB 闪存驱动器等可移动驱动器进行自主传播，并可能到达气隙系统。