5 月 16 日消息，安全公司 ESET 近日發(fā)布報(bào)告，聲稱(chēng)一款名為“Ebury”的“上古”僵尸網(wǎng)絡(luò)病毒已經(jīng)卷土重來(lái)，相關(guān)僵尸網(wǎng)絡(luò)病毒從 2009 年就開(kāi)始活動(dòng)，至今已感染約 40 萬(wàn)臺(tái) Linux 主機(jī)。

研究人員對(duì)這款僵尸網(wǎng)絡(luò)近期的攻擊行動(dòng)進(jìn)行了分析，發(fā)現(xiàn)黑客偏好針對(duì)服務(wù)器 VPS 供應(yīng)商進(jìn)行攻擊，此后再對(duì)供應(yīng)商旗下租用虛擬機(jī)的用戶發(fā)動(dòng)供應(yīng)鏈攻擊。

從報(bào)告中獲悉，黑客主要利用泄露的數(shù)據(jù)庫(kù)“撞庫(kù)”入侵服務(wù)器，一旦成功獲得目標(biāo)主機(jī)權(quán)限，黑客便會(huì)部署一系列 SSH 腳本，并試圖獲取相關(guān) VPS 中的密鑰，然后用于嘗試入侵其他服務(wù)器。此外，研究人員還發(fā)現(xiàn)黑客利用部分未能及時(shí)修復(fù)軟件漏洞的服務(wù)器進(jìn)一步提升權(quán)限。

而在成功控制受害服務(wù)器后，黑客們利用地址解析協(xié)議（ARP），將受害服務(wù)器的 SSH 流量重定向至黑客方服務(wù)器，從而在第三方用戶登錄受害服務(wù)器提供的服務(wù)時(shí)截取獲得賬號(hào)密碼，進(jìn)而進(jìn)行更多撞庫(kù)。

研究人員指出，他們還發(fā)現(xiàn)黑客利用此僵尸網(wǎng)絡(luò)病毒傳播其他惡意木馬，包括將受害服務(wù)器充當(dāng)代理服務(wù)器使用的 HelimodProxy、重定向流量的 HelimodRedirect、可記錄網(wǎng)站表單內(nèi)容的 HelimodSteal、將網(wǎng)站用戶重定導(dǎo)向至惡意 URL 的 KernelRedirect，以及攔截 HTTP 請(qǐng)求的 FrizzySteal，據(jù)此研究人員呼吁服務(wù)器 VPS 提供商應(yīng)當(dāng)謹(jǐn)慎注意相關(guān)病毒入侵。