Исследователи из Sekoia расчехлили один из серверов C2, используемый USB-червем PlugX и мониторили его активность в течение шести месяцев, обнаружив более более 2,5 миллионов обращений с уникальных IP-адресов.
Причем с сентября прошлого года сервер ежедневно получает более 90 000 запросов на наличие команд от зараженных хостов из более чем 170 стран.
На 15 из них пришлось более 80% от общего числа заражений: лидеры - Нигерия, Индия, Китай, Иран, Индонезия, Великобритания, Ирак и США.
За время наблюдения исследователям удалось проанализировать трафик, выявить заражения и предотвратить злонамеренную активность.
Для того, чтобы провернуть столь мощную операцию Sekoia была вынуждена потратиться всего на 7 долларов, которые ушли на приобретение IP-адреса 45.142.166[.]112, соответствующего серверу С2, который к тому времени уже вышел из оборота хакеров.
IP ранее в марте 2023 года упоминался в отчете Sophos в отношении новой версии PlugX. Тогда вредоносная программа уже получила возможность самораспространения через USB-устройства.
После того, как Seqoia перехватила контроль над адресом исследователи получили доступ к оболочке сервера, используя IP.
После чего настроили простой веб-сервер, имитирующий поведение исходного C2 и смогли перехватывать HTTP-запросы от зараженных хостов.
Безусловно, пришлось потрудиться и определиться со стратегиями противодействию угрозе, передав соответствующие инструкции национальным CERT во избежание юридических сложностей с отправкой команд удаленного удаления на зараженные хосты.
Как полагают в Seqoia, ботнет, созданный с использованием скрытой версии PlugX, можно считать мертвым, поскольку операторы вредоносного ПО утратили контроль над ситуацией.
Правда, это не относится к инфицированным изолированным сетям и носителям.
>>Click here to continue<<