關(guān)鍵基礎(chǔ)設(shè)施暴露

LockBit 5.0勒索軟件團伙的關(guān)鍵基礎(chǔ)設(shè)施遭曝光，其最新數(shù)據(jù)泄露網(wǎng)站托管于IP地址205.185.116.233及域名karma0.xyz。研究人員Rakesh Krishnan發(fā)現(xiàn)，該服務(wù)器位于AS53667網(wǎng)絡(luò)（由FranTech Solutions運營的PONYNET，該網(wǎng)絡(luò)常被用于非法活動），服務(wù)器顯示的DDoS防護頁面標注有"LOCKBITS.5.0"標識，證實了其與LockBit團伙的關(guān)聯(lián)。

運營安全漏洞

這一運營安全漏洞出現(xiàn)在LockBit團伙增強惡意軟件功能并重新活躍之際。Krishnan于2025年12月5日通過X平臺（原Twitter）首次公開這一發(fā)現(xiàn)，指出該域名近期注冊且與LockBit 5.0活動直接相關(guān)。

• #LOCKBIT 5.0服務(wù)器：IP與域名
• IP：205.185.116.233 #AS53667
• 域名：karma0[.]xyz注冊時間：2025年11月2日
• 攻擊中使用了#Smokeloader
• MD5：e818a9afd55693d556a47002a7b7ef31#Lockbit5 #勒索軟件 #安全 #情報 #OSINT #數(shù)據(jù)泄露 #TOR

域名注冊詳情

WHOIS記錄顯示，karma0.xyz域名注冊于2025年4月12日，有效期至2026年4月，使用Cloudflare域名服務(wù)器（iris.ns.cloudflare.com和tom.ns.cloudflare.com），并通過Namecheap隱私保護服務(wù)將聯(lián)系人地址設(shè)為冰島雷克雅未克。域名狀態(tài)顯示"禁止客戶轉(zhuǎn)移"，表明運營者試圖在審查期間鎖定控制權(quán)。

服務(wù)器端口風險

掃描顯示205.185.116.233服務(wù)器開放多個端口，包括存在漏洞的遠程訪問端口，使服務(wù)器面臨潛在破壞風險：

其中3389端口的RDP服務(wù)尤為危險，可能導(dǎo)致未經(jīng)授權(quán)訪問Windows主機。

LockBit 5.0技術(shù)特征

LockBit 5.0于2025年9月左右出現(xiàn)，支持Windows、Linux和ESXi系統(tǒng)，具有隨機文件擴展名、基于地理位置規(guī)避（跳過俄羅斯系統(tǒng)）以及通過XChaCha20加速加密等特征。

此次曝光再次凸顯了該團伙在運營安全方面的持續(xù)失敗。盡管多次遭到打擊，該團伙仍持續(xù)活躍。安全防御者應(yīng)立即封鎖相關(guān)IP和域名，研究人員可繼續(xù)監(jiān)控可能的進一步泄露。