根據美國新聞媒體的報導,2月24日美國住房及城市發展部(HUD)位於華盛頓特區總部的電視上出現由AI產生的影片,內容是美國總統川普彎腰親吻馬斯克腳趾,員工無法直接關掉影片,只能拔除電視電源因應。對此,有中國資安業者認為很有可能是殭屍網路Vo1d造成。
這個現象的揭露,源自奇安信X實驗室資安研究員Alex.Turing、Acey9、Wang Hao、Heziqian聯名發表的公司部落格文章,他們表示,從去年11月底看到新一波攻擊行動,有人散布名為jddx的ELF檔案,惡意程式分析平臺VirusTotal的防毒引擎皆將其視為無害,奇安信初步利用AI檢測工具進行分析之後,看到此檔案具有殭屍網路Bigpanzi的部分特徵,經過深入調查之後,他們發現jddx實際上是Vo1d的變種,這代表該殭屍網路已出現新一波的攻擊行動。
而且,這波攻擊行動已感染全球超過160萬臺執行安卓作業系統的智慧電視,範圍涵蓋超過200個國家及地區。他們一共找到89個Vo1d的檔案、21個C2網域名稱、258個DGA種子、逾10萬個DGA網域名稱,攻擊行動在1月中旬達到高峰,連續1個星期每天活動的IP位址數量超過150萬個。
從受害電視分布的地區來看,巴西最嚴重,占比逼近四分之一(24.97%),南美洲、印尼居次,分別有13.6%、10.54%。
相較於防毒業者Dr. Web去年9月揭露的Vo1d,奇安信指出這次的殭屍網路病毒行蹤更難發現,因為,駭客投放有效酬載時,都使用專屬的下載工具,並用變造的XXTEA演算法對有效酬載執行加密處理;再者,則是透過兩種不同形式的重新導向手法,隱匿C2的真實位置。另一方面,此殭屍網路的網路通訊使用RSA演算法加密處理,而這麼做不只讓資料傳輸更加隱密,也使得資安研究員與執法人員難以接管殭屍網路,因為就算他們註冊用於DGA演算法的C2網域,也無法奪下惡意網路。
究竟駭客如何利用Vo1d牟利?奇安信今年初發現,歹徒利用受感染的智慧電視架設非法代理伺服器業務、從事廣告詐欺,以及產生假的廣告觀看流量。
關於大量智慧電視設備遭到惡意程式感染而被殭屍網路綁架的原因,研究人員特別提及部分設備製造商與網路犯罪圈之間,有業務往來,會在電視出廠時,將惡意元件預載進去;再者,則是有些使用者可能為了取得免費的影音內容,下載破解版軟體、第三方應用程式,甚至是部署非官方韌體,而讓惡意軟體有機可乘。
對於Vo1d這個殭屍網路的來歷,也令人好奇,上面提到的jddx居然也具備其他殭屍網路的特徵,這樣的現象並不尋常。對此,奇安信認為Vo1d與Bigpanzi兩個殭屍網路可能存在更深厚的關聯,原因是兩者規模都相當龐大,皆為綁架超過百萬臺裝置的殭屍網路,再者,駭客都使用相同的字串解密演算法,這樣的巧合並非偶然。研究人員推測,兩個殭屍網路很有可能共享程式碼基礎(Codebase)、開發資源,甚至背後經營的團體隸屬相同的駭客組織旗下。
熱門新聞
2025-03-03
2025-03-03
2025-03-03
2025-03-01
2025-03-03
