騰訊御見：“8220”挖礦木馬入侵服務器挖礦，可發起DDoS攻擊_SHE

騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外，“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素，騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。

騰訊御見：軟件破解補丁隱藏木馬病來竊取加密錢包信息，受害者或達百萬:騰訊安全威脅情報中檢測到大量用戶感染CracxStealer竊密木馬，追蹤病來源發現源于境外某個軟件破解補丁下載站。該網站提供下載的平面設計、媒體編輯、Office、大型游戲、系統工具等商業軟件破解補丁包內已植入竊密木馬，木馬運行后會竊取用戶瀏覽器保存的帳號密碼、數字加密幣的錢包帳號以及其他機密信息。竊密木馬會搜集門羅幣、以太坊等數字加密貨幣的相關客戶端軟件中保存的錢包信息。目前該網站單個破解補丁下載次數超過8萬次，而該網站提供的常用軟件（包括許多大型商業軟件）破解補丁有數百種之多，全球受害者可能數百萬計。[2020/7/9]

騰訊御見：“匿影”挖礦木馬持續活躍，入侵某旅游網站做病下載服務器:騰訊安全威脅情報中心檢測到“匿影”挖礦木馬變種攻擊。該變種木馬依然利用永恒之藍漏洞進行攻擊傳播，通過計劃任務、WMI后門進行本地持久化，然后在攻陷機器下載XMRig礦機挖礦門羅幣、下載nbminer礦機挖礦HNS（Handshake），還會利用regsvr32.exe加載執行DLL形式的木馬程序，匿影木馬新變種在已安裝騰訊電腦管家等數款安全軟件的電腦上不運行，試圖避免被安全廠商檢測到。

據悉，“匿影”挖礦木馬擅長利用利用各類公共網址進行數據統計和木馬下載，此次變種攻陷了某旅游文化網站并將其作為木馬下載服務器。[2020/6/8]

動態 | 騰訊御見：挖礦木馬同比提高近5%，新的勒索病層出不窮:據騰訊御見威脅情報中心發文稱，企業終端風險中，感染風險軟件的仍排行第一，占比達到40%。部分終端失陷后，攻擊者植入遠控木馬（占14%），并利用其作為跳板，部署漏洞攻擊工具再次攻擊內網其它終端，最終植入挖礦木馬或者勒索病。

挖礦木馬同比提高近5%，幾乎成為當前流行黑產團伙的必備組件。隨著比特幣、門羅幣、以太坊幣等數字加密幣的持續升值，挖礦成了黑產變現的重要渠道。我們預計挖礦木馬占比仍將繼續上升。勒索病同比變化不大，但近年新的勒索病層出不窮，一旦攻擊成功危害極大。部分受害企業被迫交納“贖金”或“數據恢復費”，勒索病仍是當前企業需要重點防范的病類型。[2019/8/27]

Tags：門羅幣MINESHEHEL門羅幣pay是騙局嗎CryptoMines ClassicSheikh Pepehelleniccoin

區塊鏈