执法机构摧毁SocksEscort代理僵尸网络,影响163个国家369,000个IP地址
执法机构摧毁SocksEscort代理僵尸网络,影响163个国家369,000个IP地址作者:James Bentley
来源:Internet
引用:https://thehackernews.com/2026/03/authorities-disrupt-socksescort-proxy.html
经法院授权的国际执法行动已拆除了名为SocksEscort的犯罪代理服务,该服务将全球数千台家用和商业路由器奴役成僵尸网络,用于实施大规模欺诈活动。
美国司法部(DoJ)表示:“SocksEscort通过恶意软件感染了家用和中小企业互联网路由器。该恶意软件允许SocksEscort将互联网流量通过受感染的路由器进行引导。SocksEscort将这种访问权限出售给其客户。”
据称,SocksEscort(socksescort[.]com)自2020年夏季以来,已向163个国家的约369,000个不同的IP地址提供服务,截至2026年2月,其服务列表中列出了近8,000个受感染的路由器,其中2,500个位于美国。
截至2025年12月,SocksEscort的网站宣称提供“静态家用IP,无限带宽”,并能绕过垃圾邮件封锁名单。它宣传提供来自102个国家的超过35,900个代理,每月30个代理的费用为15美元,每月5,000个代理的费用为200美元。
类似SocksEscort的服务最终目的是使付费客户能够通过受损害的设备(而不让受害者知情)传输互联网流量,使他们能够混入其中,并使得恶意流量与合法活动难以区分,因为它们隐藏了他们的真实IP地址和位置。
SocksEscort被用于的一些欺诈方案的受害者包括一位居住在纽约的加密货币交易所客户,被骗走价值100万美元的加密货币;一家位于宾夕法尼亚州的制造企业被骗走价值70万美元;以及持MILITARY STAR卡的美国现役和退伍军人被骗走10万美元。
欧洲刑警局在联合声明中表示,代号为“闪电行动”的行动涉及奥地利、保加利亚、法国、德国、匈牙利、荷兰、罗马尼亚和美国的当局。此次破坏行动导致7个国家的34个域名和23个服务器被关闭。总共冻结了价值350万美元的加密货币。
欧洲刑警局表示:“这些设备,主要是家用路由器,被用于便利各种犯罪活动,包括勒索软件、DDoS攻击和儿童色情材料的分发。这些受损害的设备是通过特定品牌家用调制解调器中的一个漏洞被感染的。”
“为了获得代理服务,客户必须使用一个支付平台,该平台允许使用加密货币匿名购买服务。据估计,该支付平台从代理服务客户那里收到了超过500万欧元。”
SocksEscort由一种名为AVrecon的恶意软件提供支持,其细节于2023年7月由Lumen Black Lotus Labs公开记录。然而,据估计它至少自2021年5月以来一直活跃。据估计,该代理服务从2025年初开始已使280,000个不同的IP地址受害。
除了将受感染的设备转变为SocksEscort家用代理之外,AVrecon还配备了一个远程shell,可以连接到攻击者控制的服务器,并作为加载器通过下载和执行任意有效载荷。该恶意软件针对大约1,200种由思科、D-Link、海康威视、迈克尔特、网件、TP-Link和中兴生产的设备型号。
NETGEAR发言人向The Hacker News分享的声明中表示,尽管有些设备在2016年“僵尸网络活动早期阶段”被报告为被针对,但该公司迅速部署了补救措施,并且没有迹象表明自那时以来其设备被利用。
美国联邦调查局在一份警报中表示:“观察到的绝大多数感染了AVrecon恶意软件的设备是受感染的小型办公室/家用(SOHO)路由器,这些路由器是通过使用关键漏洞(如远程代码执行(RCE)和命令注入)进行感染的。”AVrecon恶意软件是用C语言编写的,主要针对MIPS和ARM设备。
为了实现持久性,攻击者被观察到使用设备的内置更新机制来刷写包含AVrecon副本的自定义固件映像,该映像被硬编码在设备启动时执行。修改后的固件还禁用了设备的更新和刷写功能,从而使得设备永久感染。
“这个僵尸网络构成了重大威胁,因为它专门针对犯罪分子,并且仅由受损害的边缘设备组成,”Black Lotus Labs团队表示。“在过去几年中,SocksEscort的规模平均每周约为20,000个不同的受害者,通过平均15个命令和控制节点(C2)路由通信。”(故事发布后更新,包括NETGEAR的回应。)
页:
[1]