黑客用 KrebsOnSecurity 的名字命名恶意程序

安全
WinterIsComing (31822)发表于 2021年03月29日 15时58分 星期一
来自部门
非盈利组织 The Shadowserver Foundation 发现了 21,248 个 Exchange 电邮服务器被植入了一个后门,而与该后门程序通信的指令控制服务器域名叫 brian[.]krebsonsecurity[.]top。知名安全博客 KrebsOnSecurity 的作者 Brian Krebs 声明他与此无关。3 月 26 日 Shadowserver 注意到在入侵的 Exchange 服务器上安装新后门的尝试,后门都是安装在同一个地方 /owa/auth/babydraco.aspx。Shadowserver 的蜜罐观测到 Babydraco 后门总是执行相同的操作:运行一个 Powershell 脚本,从 159.65.136[.]128 地址上提取文件 krebsonsecurity.exe。该文件会安装 root 证书,修改系统注册表,通知 Windows Defender 不要扫描该文件。扫描显示有 21,248 台服务器被安装了 Babydraco 后门。Brian Krebs 称,黑客还在域名中包含了他的社会安全号码。