PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动,旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月,涉及全球系统数量约达 3000 万,最受影响的国家有泰国(3,545,437),越南(1,830,065)和土耳其(665,058)。
据安全专家介绍,攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时,只要用户点击链接就会被重定向,随后下载加密货币挖矿软件 。
安全专家认为 Monero 的挖掘操作非常庞大,因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件,其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称,可能是因为源自文件共享服务。
攻击者通过 VBS 文件执行 XMRig 挖矿软件,并利用 XMRig *** 服务来隐藏最终的矿池目的地。 此外,研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。
据 PaloAlto 的专家介绍,去年 10 月 20 日是该货币挖掘行动的一个里程碑,在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。(注意:一般情况下,最终的 playload 主要是由 “ msvc.exe ” 安装的。)
在 10 月 20 日之后,安全专家观察到攻击者开始使用 HTTP 重定向服务。
而在 11 月 16 日起,攻击者改变了恶意软件的攻击策略:
他们不再使用 SFX 文件,而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件,该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项,以确保持久性。
目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬,攻击者改变了用来部署恶意软件的 dropper:
在放弃 . NET 之后,他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是,这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中,目的是为了获得持久性 。
令人奇怪的是,规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意,相关安全专家认为这种情况很是反常。
消息来源:Security Affairs,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
不少 WordPress 网站正在遭受黑客们的攻击,通过注入的恶意脚本,利用访问者的浏览器对乌克兰网站进行分布式拒绝服务攻击。今天,MalwareHunterTeam 发现一个 WordPress 网站被入侵使用这个脚本,针对十个网站进行分布式拒绝服务(DDoS)攻击。 这些网站包括乌克兰政府机构、...
美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可...
近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的...
Hackernews 编译,转载请注明出处: TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做...
网络安全研究人员发现了一个通过MSI安装程序分发的新版本的Jupyter infostealer。 2020年11月,Morphisec的研究人员发现,威胁者一直在使用.Net infostealer(记为Jupyter),从受害者那里窃取信息。 恶意软件Jupyter能够从多个应用程序收集数据,包...
2021年CVE回顾: 时间飞逝,转眼间来到了2022年。新的一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。 2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。 通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视...