Roaming Mantis恶意软件升级：从亚洲DNS劫持到全球多平台威胁的演变

近年来 网络平安威胁呈现出跨平台、全球化的趋势，而Roaming Mantis恶意软件的升级正是这一趋势的典型代表。一开始， 该恶意软件仅在亚洲地区通过DNS劫持路由器针对Android用户发起攻击，但最新研究表明，其攻击范围已 至iOS设备和桌面用户，全球用户面临的风险急剧上升。本文将深入解析Roaming Mantis的演变过程、 攻击技术、全球蔓延迹象及防御策略，为企业和个人用户提供全面的网络平安指导。

Roaming Mantis的起源：针对亚洲Android用户的DNS劫持攻击

Roaming Mantis恶意软件最早于2018年4月被卡巴斯基实验室发现， 其核心攻击方式是密码以及银行账户信息。

根据卡巴斯基实验室的 telemetry 数据， Roaming Mantis一开始在亚洲地区造成严重威胁，超过98%的受害者集中在韩国，少数分布在孟加拉国和日本。攻击者针对亚洲市场的原因在于， 该地区智能手机普及率高，且移动支付和银行业务依赖性强，用户经济价值较高。还有啊， 恶意网页的HTML代码支持韩文、英文、日文以及简体中文和繁体中文，进一步印证了其锁定亚洲市场的意图。

攻击升级：从单一平台到iOS与桌面用户的全面覆盖

因为网络平安技术的不断演进，Roaming Mantis背后的犯法集团也在持续升级其攻击手段。卡巴斯基实验室的研究人员发现， 该恶意软件已不再局限于Android设备，而是通过增加针对iOS用户的钓鱼攻击和针对桌面用户的加密货币挖矿脚本，实现了跨平台威胁。这种升级使得Roaming Mantis的攻击范围显著扩大，全球各类设备用户均面临潜在风险。

针对iOS用户， 攻击者通过恶意网站诱导用户访问钓鱼页面这些页面成苹果官方或其他知名应用，窃取用户的Apple ID、密码以及支付信息。由于iOS系统的封闭性， 恶意软件无法直接安装应用，但钓鱼攻击的成功率依然较高，特别是不熟悉网络平安风险的老年用户。而对于桌面用户， 恶意网站则重定向至嵌有加密货币挖矿脚本的页面在用户不知情的情况下占用CPU资源进行挖矿，导致设备性能下降、电费激增，甚至被植入远控木马。

全球蔓延的迹象：语言 与地域分布的变化

一开始， Roaming Mantis仅支持4种语言，主要针对亚洲用户。只是 最新的恶意软件版本已将语言支持 至27种，包括欧洲和中东地区的主要语言，如德语、法语、阿拉伯语等。这一变化表明，攻击者的目标已从亚洲市场转向全球，意图扩大攻击范围，获取更多经济利益。

从地域分布来看，虽然亚洲地区仍是重灾区，但欧洲和中东国家的检测数量正在快速上升。卡巴斯基实验室的数据显示， 自2021年起，Roaming Mantis在德国、法国、阿联酋等国家的攻击案例显著增加，且受害者群体从个人用户 至中小企业。攻击者利用企业路由器平安防护薄弱的特点，通过DNS劫持入侵内部网络，进一步窃取商业数据和客户信息。

DNS劫持技术深度解析：攻击原理与实现方式

DNS劫持是Roaming Mantis的核心攻击技术， 其原理是通过篡改路由器的DNS服务器设置，将用户的网络流量重定向至恶意服务器。具体实现过程分为以下几个步骤：

• 漏洞扫描与入侵：攻击者利用自动化工具扫描互联网上的路由器， 寻找存在默认密码或固件漏洞的设备，通过暴力破解或利用已知漏洞入侵路由器管理后台。
• DNS设置篡改：入侵后 攻击者将路由器的DNS服务器地址修改为攻击者控制的服务器IP，通常使用虚假的DNS响应掩盖真实IP地址。
• 流量劫持与重定向：当用户通过被入侵的路由器访问任何网站时 DNS请求会被恶意服务器拦截，用户被重定向至攻击者指定的恶意页面无论用户原本访问的网站是否合法。
• 恶意载荷分发：根据用户设备类型， 恶意页面会分发相应的攻击载荷，如恶意应用、钓鱼页面或挖矿脚本。

这种攻击方式的隐蔽性极强， 主要原因是用户在访问网站时浏览器地址栏显示的仍是原始域名，难以察觉异常。还有啊，攻击者还会利用HTTPS证书伪造技术，使恶意页面显示“平安锁”图标，进一步降低用户的警惕性。

受害者影响与案例分析：经济损失与隐私泄露

Roaming Mantis攻击对受害者的影响主要体现在经济损失和隐私泄露两方面。以韩国为例， 由于该国家庭对移动银行的依赖度较高，大量用户因下载恶意应用导致银行账户被盗，单笔损失可达数千美元。卡巴斯基实验室的研究显示， 仅2018年4月至6月期间，韩国就有超过1500名用户遭受攻击，直接经济损失超过100万美元。

对于iOS用户，钓鱼攻击的后果同样严重。比方说 2021年日本一名用户因点击成“苹果ID验证”的钓鱼链接，导致Apple ID被盗，绑定的信用卡被用于购买价值数万美元的虚拟商品。而桌面用户则面临设备性能下降和数据泄露的风险， 攻击者通过挖矿脚本消耗CPU资源，一边窃取浏览器保存的密码、浏览器历史记录和敏感文件。

企业用户成为攻击的新目标后后果更为严重。2022年， 一家位于阿联酋的中型企业因路由器被入侵，客户数据库和财务报表被窃取，导致商业机密泄露，到头来损失超过500万美元。这一案例表明，Roaming Mantis的攻击已从个人层面上升到企业层面威胁范围进一步扩大。

防御策略：用户端与企业端的全方位防护

面对Roaming Mantis恶意软件的全球蔓延， 用户和企业需采取多层次防御措施，降低被攻击的风险。

用户端防护措施

• 路由器平安加固：确保路由器固件为最新版本， 修改默认管理员密码，禁用远程管理功能，并定期检查DNS设置是否异常。
• 使用可信DNS服务器：在操作系统网络设置中手动配置可信的DNS服务器， 如Cloudflare或Google DNS，避免使用路由器默认DNS。
• 谨慎下载应用：仅从官方应用商店下载应用， 禁用“未知来源”安装选项，避免安装来历不明的APK或IPA文件。
• 启用HTTPS：访问网站时确保URL以“https://”开头， 并检查SSL证书是否有效，避免访问HTTP页面或在公共Wi-Fi下进行敏感操作。

企业端防护措施

• 网络分段与访问控制：将企业网络划分为不同平安区域， 限制设备间横向移动，部署防火墙和入侵检测系统监控异常流量。
• 定期平安审计：对企业路由器、 服务器和终端设备进行定期平安扫描，及时发现并修复漏洞，强制启用多因素认证。
• 员工平安培训：定期开展网络平安意识培训， 教育员工识别钓鱼邮件和恶意链接，避免点击可疑附件或访问未知网站。
• 数据备份与应急响应：建立完善的数据备份机制， 制定网络平安事件应急响应计划，确保在遭受攻击时能够快速恢复业务。

未来趋势与长期防御建议

因为Roaming Mantis等恶意软件的不断演化，未来的网络平安威胁将更加复杂和隐蔽。攻击者可能利用人工智能技术优化钓鱼页面提高欺骗成功率；或通过物联网设备的普及，扩大攻击面。还有啊，加密货币挖矿攻击可能从CPU转向GPU或专用芯片，对硬件性能造成更大影响。

长期来看，防御网络平安威胁需从技术和管理两方面入手。技术上， 推动DNS over HTTPS和DNS over TLS的普及，加密DNS查询内容，防止中间人攻击；管理上，建立全球网络平安信息共享机制，加强跨国合作，共同打击网络犯法。一边， 企业和个人需培养“零信任”平安理念，即“永不信任，始终验证”，对所有访问请求进行严格身份验证，降低被攻击风险。

全球联动， 共筑网络平安防线

Roaming Mantis恶意软件的升级和全球蔓延， 印证了网络平安威胁的无国界性。从亚洲的DNS劫持到全球的多平台攻击， 这一威胁的演变过程提醒我们，网络平安已成为全球性挑战，需要各国政府、企业、研究机构和个人用户的共同参与。通过加强技术防护、 提升平安意识、推动国际合作，我们才能有效应对Roaming Mantis等恶意软件的威胁，保障数字世界的平安与稳定。未来唯有持续关注威胁动态，采取主动防御措施，才能在复杂的网络环境中立于不败之地。