雷鋒網(wǎng)10月30日消息，一昵稱為@MisterCh0c的推特用戶發(fā)布消息稱，發(fā)現(xiàn)了一款木馬控制平臺(tái)的登錄地址http://lmhostsvc[.]net/healthne/login.php。

此后，其他推特用戶發(fā)帖曝光該后臺(tái)至少記錄了12臺(tái)被控主機(jī)的IP地址、計(jì)算機(jī)名、用戶名、操作系統(tǒng)、被控時(shí)間及最后一次上線時(shí)間等信息，在曝光的被控主機(jī)中，有9個(gè)屬于中國。

該后臺(tái)所有者是印度政府背景APT組織Bitter（又名“蔓靈花”），這是一個(gè)長期針對中國、巴基斯坦等國家的政府、軍工、電力、核等部門發(fā)動(dòng)網(wǎng)絡(luò)攻擊的APT團(tuán)伙。

這9個(gè)屬于中國的IP地址主要涉及北京、上海、浙江、廣西等地，該平臺(tái)還具備下發(fā)木馬插件的功能，可對受控主機(jī)實(shí)施進(jìn)一步操作，相關(guān)信息如下所示：

行動(dòng)建議如下：

1、 建議受影響企業(yè)高度重視此次事件，并結(jié)合內(nèi)部DNS記錄，排查與主控域名存在通信的相關(guān)內(nèi)部主機(jī)。

2、 建議使用相關(guān)TDP、TIP、OneDNS產(chǎn)品對該組織的攻擊活動(dòng)進(jìn)行持續(xù)檢測和防范。

文章來自微步在線投稿

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。