騰訊御見：京廣多地超2萬臺電腦被挖礦，攻擊者利用永恒之藍漏洞橫向擴散_LINU

騰訊御見威脅情報中心檢測到挖礦木馬家族Lcy2Miner感染量上升，工程師對該病的感染進行回溯調查。結果發現，有攻擊者搭建多個HFS服務器提供木馬下載，并在其服務器web頁面構造IE漏洞攻擊代碼。當存在漏洞的電腦被誘騙訪問攻擊網頁時，會觸發漏洞下載大灰狼遠程控制木馬。接著由遠控木馬下載門羅幣挖礦木馬和“永恒之藍”漏洞攻擊模塊，然后利用“永恒之藍”漏洞攻擊工具在企業內網攻擊傳播，最終攻擊者通過組建僵尸網絡挖礦牟利。截止目前該團伙已通過挖礦獲得門羅幣147個，市值約6.5萬元人民幣。數據顯示，該團伙控制的Lcy2Miner挖礦木馬已感染超過2萬臺電腦，影響眾多行業，互聯網服務、批發零售業、科技服務業位居前三。從病感染的地區分布來看，Lcy2Miner挖礦木馬在全國大部分地區均有感染，受害最嚴重的地區為北京、廣東、河南等地。

騰訊御見：9月挖礦木馬依舊活躍:騰訊安全大數據顯示，2020年9月，挖礦木馬在最活躍的惡意軟件家族top10中占絕對優勢。[2020/10/17]

動態 | 騰訊御見：“Agwl”病團伙對Linux系統進行挖礦、DDoS、刪庫勒索等三重攻擊:騰訊安全御見威脅情報中心監測發現，“Agwl”團伙增加了對Linux系統的攻擊，入侵成功后加入基于Linux系統執行的bash腳本代碼s667。該腳本運行后會添加自身到定時任務，并進一步下載Linux平臺下的CPU挖礦木馬bashf和GPU挖礦木馬bashg。“Agwl”團伙繼續植入Linux平臺的DDoS病lst（有國外研究者命名為“Mayday”）以及勒索蠕蟲病Xbash。Xbash勒索病會從C2服務器讀取攻擊IP地址段，掃描這些網絡中的VNC、Rsync、MySQL、MariaDB、Memcached、PostgreSQL、MongoDB和phpMyAdmin服務器進行爆破攻擊，爆破登錄成功后不像其他勒索病那樣去加密數據再勒索酬金，而是直接將數據庫文件刪除后騙取酬金，企業一旦中招將會蒙受嚴重損失。[2019/8/6]

動態 | 騰訊御見：永恒之藍木馬下載器再升級，可執行“無文件”形式挖礦攻擊:騰訊安全御見威脅情報中心4月3日檢測到永恒之藍下載器木馬再次更新，此次更新改變了原有的挖礦木馬執行方式，通過在Powershell中嵌入PE文件加載的形式，達到執行“無文件”形式挖礦攻擊。新的挖礦木馬執行方式沒有文件落地，直接在Powershell.exe進程中運行，可能造成難以檢測和清除。[2019/4/5]

Tags：ASHBASHINULINULilith Cash BondBASH幣Keisuke InuBLINU幣

以太坊價格今日行情