(香港,2024年11月1日) 香港網絡安全事故協調中心(HKCERT)發布2024年第三季的香港保安觀察報告,數據顯示香港的釣魚網站及殭屍網絡事件分別錄得155.8%及83.4%的增幅,當中殭屍網絡事件由上季度的2,754宗,增至本季度的5,051宗。增長原因是本季度發現一個名為「911 S5」的殭屍網絡,涉及的網絡安全事件多達2,700多宗,數量超過整體數量的一半。
報告的情報來源發現,首宗殭屍網絡「911 S5」報告可追溯至2024年5月,源於美國司法部成功摧毀「911 S5」基礎設施的聯合行動,隨後批露受感染裝置的訊息,令外界首次得悉該殭屍網絡的真正規模及影響。
儘管「911 S5」已被海外執法機構搗破,但仍存在大量受感染裝置尚未清除。由於「911 S5」是一種惡意後門程式,不排除其他不法分子利用後門程式,再次操控受感染裝置。因此,為防範後門攻擊程式再次被利用,需要持續監控及清理受感染裝置。
2,700多個本地裝置感染「911 S5」,恐被用作進行網絡犯罪活動
「911 S5」自2014年開始運作,2023年更名為「CloudRouter」,已在全球超過190國家感染1,900多萬個裝置。該殭屍網絡在某些特定的VPN應用程序中嵌入了惡意後門。在網絡安全中,後門會允許黑客利用受感染的裝置連接互聯網,隱藏自己的網絡足跡,方便進行各種犯罪行為,例如金融犯罪、網絡攻擊和數據盜竊等。
與「911 S5」基礎設施連接的VPN應用程序包括MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN等。這些VPN通常嵌入於盜版遊戲或軟件中。一旦受害者下載這些遊戲或軟件,VPN應用程序和後門將在未經同意的情況下安裝,使裝置無意中成為「911 S5」的一部分。HKCERT已即時監測香港的「911 S5」感染情況,並通知相關IP擁有者受感染裝置的資料,以進行處理。
HKCERT敦促公眾和機構對任何惡意軟件攻擊保持警惕,並採用下列防禦建議:
HKCERT亦將移除「911 S5」的方法發布予公眾參考,詳細資料可參閱以下連結:
https://www.hkcert.org/tc/blog/massive-911-s5-botnet-affecting-nearly-19-million-ip-addresses-worldwide-was-dismantled
香港保安觀察報告 (2024年第三季度) :
https://www.hkcert.org/tc/watch-report/hong-kong-security-watch-report-q3-2024
企業或公眾如欲向HKCERT 報告與資訊保安相關的事故,可以填寫網上表格:https://www.hkcert.org/zh/event-reporting 或致電24小時熱線:(852)8105 6060。如有其他疑問,歡迎發電郵至 hkcert@hkcert.org 與HKCERT聯絡。
- 完 -
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊
請即註冊