跳转到主要内容

HKCERT发布第三季度香港保安观察报告 呼吁公众提防新型「911 S5」恶意程式

HKCERT发布第三季度香港保安观察报告  呼吁公众提防新型「911 S5」恶意程式

(香港,2024年11月1日) 香港网络安全事故协调中心(HKCERT)发布2024年第三季的香港保安观察报告,数据显示香港的钓鱼网站及僵尸网络事件分别录得155.8%及83.4%的增幅,当中僵尸网络事件由上季度的2,754宗,增至本季度的5,051宗。增长原因是本季度发现一个名为「911 S5」的僵尸网络,涉及的网络安全事件多达2,700多宗,数量超过整体数量的一半。

报告的情报来源发现,首宗僵尸网络「911 S5」报告可追溯至2024年5月,源于美国司法部成功摧毁「911 S5」基础设施的联合行动,随后批露受感染装置的讯息,令外界首次得悉该僵尸网络的真正规模及影响。

儘管「911 S5」已被海外执法机构捣破,但仍存在大量受感染装置尚未清除。由于「911 S5」是一种恶意后门程式,不排除其他不法分子利用后门程式,再次操控受感染装置。因此,为防范后门攻击程式再次被利用,需要持续监控及清理受感染装置。

2,700多个本地装置感染「911 S5」,恐被用作进行网络犯罪活动 
「911 S5」自2014年开始运作,2023年更名为「CloudRouter」,已在全球超过190国家感染1,900多万个装置。该僵尸网络在某些特定的VPN应用程序中嵌入了恶意后门。在网络安全中,后门会允许黑客利用受感染的装置连接互联网,隐藏自己的网络足迹,方便进行各种犯罪行为,例如金融犯罪、网络攻击和数据盗窃等。

与「911 S5」基础设施连接的VPN应用程序包括MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN等。这些VPN通常嵌入于盗版游戏或软件中。一旦受害者下载这些游戏或软件,VPN应用程序和后门将在未经同意的情况下安装,使装置无意中成为「911 S5」的一部分。HKCERT已即时监测香港的「911 S5」感染情况,并通知相关IP拥有者受感染装置的资料,以进行处理。

HKCERT敦促公众和机构对任何恶意软件攻击保持警惕,并採用下列防禦建议:

  • 避免从未知或不可信来源下载VPN应用程式
  • 避免下载盗版或破解版软件和游戏
  • 定期检查系统是否有异常活动或未知应用程式
  • 确保你的操作系统和应用程式已更新至最新的安全补丁
  • 安装防病毒软件,以检测和防止恶意软件感染
  • 定期监控网络流量中的任何异常活动,以便及时发现潜在的安全漏洞
  • 制定明确的应变计划以应对网络安全事故


HKCERT亦将移除「911 S5」的方法发布予公众参考,详细资料可参阅以下连结:
https://www.hkcert.org/tc/blog/massive-911-s5-botnet-affecting-nearly-19-million-ip-addresses-worldwide-was-dismantled

香港保安观察报告 (2024年第三季度) :
https://www.hkcert.org/tc/watch-report/hong-kong-security-watch-report-q3-2024

企业或公众如欲向HKCERT 报告与资讯保安相关的事故,可以填写网上表格:https://www.hkcert.org/zh/event-reporting 或致电24小时热线:(852)8105 6060。如有其他疑问,欢迎发电邮至 hkcert@hkcert.org 与HKCERT联络。

- 完 -