移至主內容

HKCERT發布第三季度香港保安觀察報告 呼籲公眾提防新型「911 S5」惡意程式

HKCERT發布第三季度香港保安觀察報告  呼籲公眾提防新型「911 S5」惡意程式

(香港,2024年11月1日) 香港網絡安全事故協調中心(HKCERT)發布2024年第三季的香港保安觀察報告,數據顯示香港的釣魚網站及殭屍網絡事件分別錄得155.8%及83.4%的增幅,當中殭屍網絡事件由上季度的2,754宗,增至本季度的5,051宗。增長原因是本季度發現一個名為「911 S5」的殭屍網絡,涉及的網絡安全事件多達2,700多宗,數量超過整體數量的一半。

報告的情報來源發現,首宗殭屍網絡「911 S5」報告可追溯至2024年5月,源於美國司法部成功摧毀「911 S5」基礎設施的聯合行動,隨後批露受感染裝置的訊息,令外界首次得悉該殭屍網絡的真正規模及影響。

儘管「911 S5」已被海外執法機構搗破,但仍存在大量受感染裝置尚未清除。由於「911 S5」是一種惡意後門程式,不排除其他不法分子利用後門程式,再次操控受感染裝置。因此,為防範後門攻擊程式再次被利用,需要持續監控及清理受感染裝置。

2,700多個本地裝置感染「911 S5」,恐被用作進行網絡犯罪活動 
「911 S5」自2014年開始運作,2023年更名為「CloudRouter」,已在全球超過190國家感染1,900多萬個裝置。該殭屍網絡在某些特定的VPN應用程序中嵌入了惡意後門。在網絡安全中,後門會允許黑客利用受感染的裝置連接互聯網,隱藏自己的網絡足跡,方便進行各種犯罪行為,例如金融犯罪、網絡攻擊和數據盜竊等。

與「911 S5」基礎設施連接的VPN應用程序包括MaskVPN、DewVPN、PaladinVPN、ProxyGate、ShieldVPN和ShineVPN等。這些VPN通常嵌入於盜版遊戲或軟件中。一旦受害者下載這些遊戲或軟件,VPN應用程序和後門將在未經同意的情況下安裝,使裝置無意中成為「911 S5」的一部分。HKCERT已即時監測香港的「911 S5」感染情況,並通知相關IP擁有者受感染裝置的資料,以進行處理。

HKCERT敦促公眾和機構對任何惡意軟件攻擊保持警惕,並採用下列防禦建議:

  • 避免從未知或不可信來源下載VPN應用程式
  • 避免下載盜版或破解版軟件和遊戲
  • 定期檢查系統是否有異常活動或未知應用程式
  • 確保你的操作系統和應用程式已更新至最新的安全補丁
  • 安裝防病毒軟件,以檢測和防止惡意軟件感染
  • 定期監控網絡流量中的任何異常活動,以便及時發現潛在的安全漏洞
  • 制定明確的應變計劃以應對網絡安全事故


HKCERT亦將移除「911 S5」的方法發布予公眾參考,詳細資料可參閱以下連結:
https://www.hkcert.org/tc/blog/massive-911-s5-botnet-affecting-nearly-19-million-ip-addresses-worldwide-was-dismantled

香港保安觀察報告 (2024年第三季度) :
https://www.hkcert.org/tc/watch-report/hong-kong-security-watch-report-q3-2024

企業或公眾如欲向HKCERT 報告與資訊保安相關的事故,可以填寫網上表格:https://www.hkcert.org/zh/event-reporting 或致電24小時熱線:(852)8105 6060。如有其他疑問,歡迎發電郵至 hkcert@hkcert.org 與HKCERT聯絡。

- 完 -