官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
关键基础设施暴露
LockBit 5.0勒索软件团伙的关键基础设施遭曝光,其最新数据泄露网站托管于IP地址205.185.116.233及域名karma0.xyz。研究人员Rakesh Krishnan发现,该服务器位于AS53667网络(由FranTech Solutions运营的PONYNET,该网络常被用于非法活动),服务器显示的DDoS防护页面标注有"LOCKBITS.5.0"标识,证实了其与LockBit团伙的关联。
运营安全漏洞
这一运营安全漏洞出现在LockBit团伙增强恶意软件功能并重新活跃之际。Krishnan于2025年12月5日通过X平台(原Twitter)首次公开这一发现,指出该域名近期注册且与LockBit 5.0活动直接相关。
#LOCKBIT 5.0服务器:IP与域名
IP:205.185.116.233 #AS53667
域名:karma0[.]xyz
注册时间:2025年11月2日攻击中使用了#Smokeloader
MD5:e818a9afd55693d556a47002a7b7ef31#Lockbit5 #勒索软件 #安全 #情报 #OSINT #数据泄露 #TOR
域名注册详情
WHOIS记录显示,karma0.xyz域名注册于2025年4月12日,有效期至2026年4月,使用Cloudflare域名服务器(iris.ns.cloudflare.com和tom.ns.cloudflare.com),并通过Namecheap隐私保护服务将联系人地址设为冰岛雷克雅未克。域名状态显示"禁止客户转移",表明运营者试图在审查期间锁定控制权。
服务器端口风险
扫描显示205.185.116.233服务器开放多个端口,包括存在漏洞的远程访问端口,使服务器面临潜在破坏风险:
| 端口 | 协议 | 组件 |
|---|---|---|
| 21 | TCP | FTP服务器 |
| 80 | TCP | Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 |
| 3389 | TCP | RDP (WINDOWS-401V6QI) |
| 5000 | TCP | HTTP |
| 5985 | TCP | WinRM |
| 47001 | TCP | HTTP |
| 49666 | TCP | 文件服务器 |
其中3389端口的RDP服务尤为危险,可能导致未经授权访问Windows主机。
LockBit 5.0技术特征
LockBit 5.0于2025年9月左右出现,支持Windows、Linux和ESXi系统,具有随机文件扩展名、基于地理位置规避(跳过俄罗斯系统)以及通过XChaCha20加速加密等特征。
此次曝光再次凸显了该团伙在运营安全方面的持续失败。尽管多次遭到打击,该团伙仍持续活跃。安全防御者应立即封锁相关IP和域名,研究人员可继续监控可能的进一步泄露。
参考来源:
LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)