2021 年上半年有10万个Windows系统被DirtyMoe感染

DirtyMoe 是一个正在快速增长的 Windows 僵尸网络，它从 2020 年的 10,000 个受感染系统增加到 2021 年上半年的超过 100,000 个。

安全团队Avast的研究人员表示，DirtyMoe 僵尸网络（PurpleFox、  Perkiler和 NuggetPhantom）的快速增长已从 2020 年的 10,000 个受感染系统增加到 2021 年上半年的 100,000 多个。他们将 DirtyMoe 定义为一种设计为模块化系统的恶意软件。

Windows 僵尸网络从2017年底开始活跃，主要用于挖掘加密货币，在 2018 年也参与了 DDoS 攻击。 DirtyMoe rootkit 通过恶意垃圾邮件活动提供或由托管可触发漏洞的 PurpleFox 漏洞利用工具包的恶意站点提供服务在 Internet Explorer 中，例如CVE-2020-0674脚本引擎内存损坏漏洞。

自 2020 年底以来，DirtyMoe 僵尸网络背后的操作迅速发生了变化，当时恶意软件作者添加了一个蠕虫模块，该模块可以通过互联网传播到其他 Windows 系统来增加其活动。

Avast团队在一次分析报告中写到：“最近，一种通过 SMB 密码暴力破解 Windows 机器的新感染媒介正在兴起，该媒介可以扫描互联网并对在线打开 SMB 端口的 Windows 系统执行密码暴力攻击。如图所示，今年的发病率增加了几个数量级  。” 

大多数点击量来自俄罗斯（65k），其次是乌克兰、越南和巴西。

研究人员指出，受感染系统的数量可能会比报告中更多，因为提供的数据仅与运行其防病毒解决方案的系统有关。

参与攻击的大多数 C&C 服务器都位于中国，这种情况表明 DirtyMoe 背后的威胁行为者是一个组织良好的组织，在全球范围内运作。

“该恶意软件实施了许多应用于本地、网络和内核层的自卫和隐藏技术。与 C&C 服务器的通信基于 DNS 请求，并使用特殊机制将 DNS 结果转换为真实 IP 地址。因此，阻止 C&C 服务器并不是一件容易的事，因为 C&C 地址每次都不同，而且它们不是硬编码的。PurpleFox 和 DirtyMoe 仍然是活跃的恶意软件，并且正在增强实力。”

Avast 发布了与涉及此僵尸网络的攻击相关的入侵指标 (IOC)

外媒报道地址：https://securityaffairs.co/wordpress/119230/malware/dirtymoe-botnet-growing.html