攻击者利用WordPressJoomla和JBoss服务器“挖矿”

Posted 2021-04-01 E安全

E安全9月22日讯 IBM X-Force团队收集的遥测数据显示，今年1月~8月，在企业网络上安装加密货币挖矿工具的攻击数量增长六倍。

卡巴斯基近期发布报告指出，今年前8个月，加密货币挖矿恶意软件感染了165万余台运行卡巴斯基解决方案的设备。

卡巴斯基收集的数据主要来自桌面终端，而IBM收集的遥测数据来自服务器和其它企业系统。

攻击者在虚假镜像文件中隐藏加密货币“挖矿机”

IBM表示，前8个月的大多数感染出自相同的挖矿工具和类似的感染技术。

IBM的Dave McMillen（戴夫·麦克米伦）接受外媒电子邮件采访时表示，攻击者首先使用大量漏洞利用攻击CMS平台（例如WordPress、Joomla和JBoss服务器），之后发起CMDI（命令注入）攻击，从而安装加密货币挖矿工具。

McMillen表示，攻击者借助隐写术，将挖矿工具隐藏在虚假镜像文件内，存储在运行Joomla或WordPress的被黑Web服务器或被黑JBoss应用服务器上。

McMillen指出，攻击者通常会下载自定义版本的合法挖矿工具，例如Minerd、kworker。大多数情况下攻击者会瞄准门罗币（Monero）等基于CryptoNote协议的货币。

所有垂直行业均中招

McMillen补充称，研究人员无法确定攻击组织或被感染服务器的数量，但攻击者并不会挑三拣四，任何能感染的目标均不会放过。
被感染的服务器分布在多个垂直行业，包括制造业、金融行业、零售业、IT和通信等。

Mirai版挖矿恶意软件暂别江湖

今年4月IBM X-Force团队发现的一款具备加密货币挖矿功能的Mirai物联网恶意软件。

许多专家预测，这款恶意软件还会重现江湖。但McMillen表示，目前尚未发现部署挖矿功能的新Mirai恶意软件，对于攻击者而言，利用物联网挖矿可能还处于PoC阶段。他预计攻击者会以同样的攻击方式针对服务器和桌面终端，因为这两大目标是相当有利可图的挖矿环境。

IBM和卡巴斯基报告称，加密货币恶意挖矿软件呈现增长的趋势。过去几个月浮出水面的虚拟货币挖矿恶意软件的感染事件包括：

• 今年1月，Terror Exploit Kit释放门罗币“挖矿机”。

• 某些Mirai僵尸网络变种测试加密货币挖矿功能。

• 加密货币“挖矿机”通过“永恒之蓝”漏洞部署。

•  Bondnet僵尸网络在约1.5万台计算机上安装门罗币“挖矿机”，大多数为Windows服务器实例。

•  Linux.MulDrop.14恶意软件利用暴露在网上的树莓派设备挖矿。

• 攻击者通过SambaCry漏洞利用部署EternalMiner恶意软件攻击Linux服务器。

•  Trojan.BtcMine.1259挖矿机使用NSA DobulePulsar感染Windows计算机。

• 今年7月，DevilRobber加密货币挖矿软件成为第二大热门Mac恶意软件。

• 安全记者Brian Krebs提到门罗币挖矿软件Linux.BTCMine.26。

•  CoinMiner活动利用“永恒之蓝”和WMI感染用户。

•  Zminer木马被发现感染Amazon S3服务器

• CodeFork团伙使用无文件恶意软件推送门罗币挖矿软件。

•  Hiking Club恶意广告活动通过Neptune Exploit Kit释放门罗币挖矿软件。

•  CS:GO攻击分子传送针对MacOS用户的门罗币挖矿软件。

•  Jimmy银行木马新增门罗币挖矿支持功能。

•  新的门罗币挖矿软件通过通讯社交软件Telegram宣传。

•  门罗币挖矿Chrome扩展程序出现在用户浏览器内。

• 新型Redatup恶意软件变种包含门罗币挖矿功能。

• 加密货币挖矿恶意广告出现用户浏览器中。

https://www.easyaq.com/news/941403953.shtml

相关阅读：

• 
  

• 
  

• 
  

• 
  

• 
  

• 
  

▼点击“阅读原文” 查看更多精彩内容