挖矿活动锁定Windows ServerRedis和Apache Solr服务器作为在线目标

Posted 2021-05-02 Softnext守内安

ISC SANS组织和防御DDoS的公司Imperva的研究员发现了两个针对Windows Server、Redis和Apache Solr服务器的独特活动。

上周，新的挖矿活动锁定未修补漏洞的Windows Server、Apache Solr和Redis服务器，攻击者试图安装数字货币挖掘程序Coinminer。

ISC SANS组织和防御DDoS的公司Imperva的研究员发现了这两个活动。

Imperva观察到的活动一直锁定Redis和Windows Server安装，该公司将该行动命名为RedisWannaMine进行追踪。

诈骗份子正在对过时的Redis版本系统进行网络上的大量扫描，攻击者试图触发CVE-2017-9805漏洞。

Imperva发布的部落格文章：『本周我们看到了针对数据库服务器和应用程序服务器的新一代挖矿劫持攻击。我们称之为RedisWannaMine的这些攻击之一。』

『RedisWannaMine在躲避技术和功能方面更为复杂。它表现出类似蠕虫的行为与进阶攻击相结合，以增加攻击者的感染率并养肥他们的钱包。』

RedisWannaMine执行一个脚本来下载一个工具，称为masscan，储存在Github仓储库中，然后一边安装它。

专家们观察到，一旦攻击者获得存取主机的权限，他们将放置RedisWannaMine恶意软件作为第一阶段payload，然后安装第二阶段数字货币矿机。

RedisWannaMine是一个复杂的威胁，因为它实现了复杂的躲避技术和功能。恶意代码将高阶攻击与蠕虫行为相结合，它使用EternalBlue NSA的漏洞进行散播。

但RedisWannaMine活动也显示了散播蠕虫的经典行为模式。

RedisWannaMine背后的网络犯罪团体针对Redis服务器以及Windows服务器，并提供了暴露SMB通讯端口的服务器。

第二次挖矿活动是透过利用CVE-2017-12629锁定Apache Solr，ISC SANS的研究人员发现这一漏洞。

ISC SANS发布的分析：『受害者人数越来越多。从2月28日到3月8日，这场活动感染了1777名受害者，其中1416名是SOLR服务器。请参阅下面的全球SOLR受害者分布。』

这两个活动都只是冰山一角，挖矿活动和针对数字货币行业的攻击数量在不断上升，而且肯定这是我们将在未来几个月会看到的趋势。