PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动,旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月,涉及全球系统数量约达 3000 万,最受影响的国家有泰国(3,545,437),越南(1,830,065)和土耳其(665,058)。
据安全专家介绍,攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时,只要用户点击链接就会被重定向,随后下载加密货币挖矿软件 。
安全专家认为 Monero 的挖掘操作非常庞大,因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件,其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称,可能是因为源自文件共享服务。
攻击者通过 VBS 文件执行 XMRig 挖矿软件,并利用 XMRig *** 服务来隐藏最终的矿池目的地。 此外,研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。
据 PaloAlto 的专家介绍,去年 10 月 20 日是该货币挖掘行动的一个里程碑,在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。(注意:一般情况下,最终的 playload 主要是由 “ msvc.exe ” 安装的。)
在 10 月 20 日之后,安全专家观察到攻击者开始使用 HTTP 重定向服务。
而在 11 月 16 日起,攻击者改变了恶意软件的攻击策略:
他们不再使用 SFX 文件,而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件,该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项,以确保持久性。
目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬,攻击者改变了用来部署恶意软件的 dropper:
在放弃 . NET 之后,他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是,这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中,目的是为了获得持久性 。
令人奇怪的是,规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意,相关安全专家认为这种情况很是反常。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...
Hackernews 编译,转载请注明出处: 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节,这些设备可以链接到未经身份验证的远程代码执行,且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分...
一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和...
乌克兰计算机应急响应小组(CERT-UA)在周二的一份安全公告中称,他们刚刚破坏了 Sandworm 想要攻陷一家该国能源供应商的企图。据说 Sandworm 是一个与俄罗斯军事情报部门有关联的黑客组织,期间试图利用臭名昭著的新版 Industroyer 恶意软件,来切断未具名的某能源供应商的变电站...
援引 BBC News 报道,伦敦警方已经逮捕了 7 名青年,怀疑他们和近期非常猖獗的黑客组织 Lapsus$ 有关。在一份提交给 The Verge 的声明中,伦敦市警方的探长迈克尔·奥沙利文表示:“伦敦市警方一直在与合作伙伴一起对一个黑客组织的成员进行调查。在调查中有 7 名年龄在 16-21...
微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,...