针对WordPress进行暴力攻击的僵尸网络Sathurbot

ESET最近观察到一个名为Sathurbot的僵尸网络，专门暴力攻击WordPress账户——被攻陷的WordPress站点随后也会对恶意程序进行进一步扩散。

该后门木马采用种子作为分发媒介，被攻陷的网站之上就提供假的电影和软件种子，当用户在网上搜索电影或软件下载时，将提供链接到这些网站，用户会下载到这些种子。

用户下载后运行就会加载Sathurbot DLL，用户的电脑就成为肉鸡。Sathurbot还在起动时检索其命令和控制（C＆C）。 与服务器的通信涉及状态报告，任务检索和接收到其他恶意软件下载的链接。

“Sathurbot可以更新自己并下载并启动其他可执行文件。 我们已经看到Boaxxe，Kovter和Fleercivet的变化，但这不一定是详尽的列表，“ESET安全研究人员警告。

恶意软件报告其成功的安装和监听端口到服务器，并且在等待额外的任务时定期报告。

僵尸网络以WordPress为目标，不同的肉鸡针对一家网站会采用不同的登录凭证进行暴力攻击。为避免被封，每个肉鸡针对每家网站只尝试一次登录就转移到其他域名。WordPress网站可以在其日志中看到对wp.getUsersBlogs的潜在攻击。

原文地址：http://www.securityweek.com/sathurbot-botnet-targets-wordpress-accounts

ESET透露，在测试期间，C＆C收回了10,000个探测项目。 他们还注意到，在攻击中使用了WordPress的XML-RPC API（特别是wp.getUsersBlogs API）。

当前Sathurbot僵尸网络已经感染了20000台设备，预计此僵尸网络从去年6月份就开始活跃了。