通过对Fronton DDoS僵尸网络的研究发现,这个犯罪工具的影响力比以前所了解的要更加严重。
Fronton僵尸网络在2020年3月首次被人们所关注。根据新闻报道,当时一个名为 "Digital Revolution "的黑客组织说,它已经获得了来自0day Technologies的文件,据称该组织是俄罗斯联邦安全局的承包商。
现在,网络安全公司Nisos报告说,Fronton恶意软件不仅仅能够进行DDoS攻击,还可以用来创建大量的社交媒体账户,然后通过社交媒体来操纵舆论的发展。
在进一步分析Fronton相关的文件后,Nisos研究员断言,DDoS 只是该系统的众多功能之一......Nisos通过分析数据,确定Fronton是一个为大规模协调信息而开发的系统。
Fronton的攻击模式
研究人员说,Fronton是用来发布虚假社交媒体信息的基础设施。该恶意软件主要是利用众多被攻陷的物联网设备来进行DDoS攻击以及发布虚假的信息。
研究人员称,这个系统包括了一个被称为SANA的基于网络的仪表板,这样用户就能够制定部署大规模的社交媒体事件。该系统创建的事件被称为Инфоповоды,即'新闻爆料',并且利用僵尸网络作为传输工具进行信息的发布。
研究人员说,SANA允许用户用生成的电子邮件和电话号码创建虚假的社交媒体账户,这些账户可以被用来在社交网络、博客和论坛上传播内容。
Nisos解释说,SANA创建的社交媒体角色账户信息,包括了提供的电子邮件和电话号码等基础信息。
此外,研究人员指出,该平台还允许用户控制某些信息喜欢和评论的数量。通过提供可以按计划创建这些新闻突发事件的设施,这将可以跟踪消息、趋势以及用户的反应。
其中有一个响应模型可以在执行Newsbreak后执行某些操作。该报道称,该响应模型允许机器人以某种方式(积极、消极或中立)对某一特定新闻作出反应。
Nisos在一份报告中补充说,该反应模型还允许操作者设定每周的喜欢、评论和转帖的频率。它还允许从字典列表中选择评论,用来引导操纵网络用户的情绪。
操作者还可以设定操作的最低频率以及操作的最小时间间隔。研究人员还发现该平台有一个机器学习(ML)系统参与其中,并且还可以根据在社交媒体上观察到的信息进行打开或关闭该攻击系统。
研究人员补充说,Fronton运营商还可以设定一个机器人用户应该有的正常的朋友数量,并且该功能与一个存储图像的功能相融合。
该工具在现实世界的攻击中的具体用法尚不清楚,截至2022年4月,该网络门户是非常活跃的,并且还转移到了其他的域。
Nisos指出,截至2022年4月,该团伙已经将其域名从0day[.]ru改为了0day[.]llc。
Nisos为此发布了一份完整的研究报告,以供研究人员做进一步的分析。
本文翻译自:https://threatpost.com/fronton-botnet-disinformation/179721/如若转载,请注明原文地址