Necro Python恶意软件升级，具有新的漏洞利用和加密挖掘功能

一个名为Necro的基于Python的“自我复制、多态机器人”进行了新的升级，这被视为是为了提高其感染易受攻击系统和逃避检测的机会。

“虽然这个机器人最初是在今年早些时候被发现的，但最新的活动显示，机器人发生了许多变化，包括不同的指挥和控制（C2）Cisco Talos的研究人员在今天发布的一份深入研究报告中说：“通信和添加新的漏洞来传播，最显著的是VMWare vSphere、SCO OpenServer、Vesta控制面板和基于SMB的漏洞，这些漏洞在代码的早期迭代中不存在。”。

据说早在2015年就开始开发Necro（又名N3Cr0m0rPh），它的目标是Linux和Windows设备，今年年初，作为一场被称为“疯狂”的恶意软件运动的一部分，人们观察到活动加剧。这场运动被发现利用Linux机器上运行的网络连接存储（NAS）设备中的漏洞，将机器加入僵尸网络，以发起分布式拒绝服务（DDoS）攻击并挖掘Monero加密货币。

除了DDoS和类似RAT的下载和启动额外有效载荷的功能外，Necro还通过安装隐藏其在系统中的存在的rootkit来考虑隐身。此外，该机器人还将恶意代码注入到受感染系统的HTML和PHP文件中，从远程服务器检索并执行基于JavaScript的miner。

虽然之前版本的恶意软件利用Liferay Portal、Laminas Project和TerraMaster中的漏洞进行攻击，但5月11日和18日观察到的最新版本的特征是针对Vesta控制面板、ZeroShell 3.9.0、SCO OpenServer 5.0.7、，以及一个影响VMWare vCenter（CVE-2021-21972）的远程代码执行缺陷，该公司已于2月份修补了该缺陷。

5月18日发布的僵尸网络版本还包括对EternalBlue（CVE-2017-0144）和EternalRoman（CVE-2017-0145）的攻击，这两个版本都滥用了Windows SMB协议中的远程代码执行漏洞。这些新增内容突显了恶意软件作者正在利用公开披露的漏洞积极开发新的传播方法。

同样值得注意的是，在每次迭代中加入多态引擎以改变其源代码，同时保持原始算法的完整性，以“初步”尝试限制被检测的机会。

Talos研究人员说：“Necro Python bot展示了一个参与者，它跟踪各种web应用程序上远程命令执行漏洞的最新开发，并将新的漏洞包括在机器人中。”。“这增加了它传播和感染系统的机会。用户需要确保定期对所有应用程序应用最新的安全更新，而不仅仅是操作系统。”