攻擊者利用WordPress、Joomla和JBoss服務器“挖礦”

E安全E小編2017-09-22 16:37:03

E安全9月22日訊 IBM X-Force團隊收集的遙測數據顯示,今年1月~8月,在企業網絡上安裝加密貨幣挖礦工具的攻擊數量增長六倍。

卡巴斯基近期發佈報告指出,今年前8個月,加密貨幣挖礦惡意軟件感染了165萬餘臺運行卡巴斯基解決方案的設備。

卡巴斯基收集的數據主要來自桌面終端,而IBM收集的遙測數據來自服務器和其它企業系統。


攻擊者在虛假鏡像文件中隱藏加密貨幣“挖礦機”



IBM表示,前8個月的大多數感染出自相同的挖礦工具和類似的感染技術。

IBM的Dave McMillen(戴夫·麥克米倫)接受外媒電子郵件採訪時表示,攻擊者首先使用大量漏洞利用攻擊CMS平臺(例如WordPress、Joomla和JBoss服務器),之後發起CMDI(命令注入)攻擊,從而安裝加密貨幣挖礦工具。

McMillen表示,攻擊者藉助隱寫術,將挖礦工具隱藏在虛假鏡像文件內,存儲在運行Joomla或WordPress的被黑Web服務器或被黑JBoss應用服務器上。

McMillen指出,攻擊者通常會下載自定義版本的合法挖礦工具,例如Minerd、kworker。大多數情況下攻擊者會瞄準門羅幣(Monero)等基於CryptoNote協議的貨幣。


所有垂直行業均中招



McMillen補充稱,研究人員無法確定攻擊組織或被感染服務器的數量,但攻擊者並不會挑三揀四,任何能感染的目標均不會放過。
被感染的服務器分佈在多個垂直行業,包括製造業、金融行業、零售業、IT和通信等。

Mirai版挖礦惡意軟件暫別江湖

今年4月IBM X-Force團隊發現的一款具備加密貨幣挖礦功能的Mirai物聯網惡意軟件。

許多專家預測,這款惡意軟件還會重現江湖。但McMillen表示,目前尚未發現部署挖礦功能的新Mirai惡意軟件,對於攻擊者而言,利用物聯網挖礦可能還處於PoC階段。他預計攻擊者會以同樣的攻擊方式針對服務器和桌面終端,因為這兩大目標是相當有利可圖的挖礦環境。

IBM和卡巴斯基報告稱,加密貨幣惡意挖礦軟件呈現增長的趨勢。過去幾個月浮出水面的虛擬貨幣挖礦惡意軟件的感染事件包括:

  • 今年1月,Terror Exploit Kit釋放門羅幣“挖礦機”。

  • 某些Mirai僵屍網絡變種測試加密貨幣挖礦功能。

  • 加密貨幣“挖礦機”通過“永恆之藍”漏洞部署。

  •  Bondnet僵屍網絡在約1.5萬臺計算機上安裝門羅幣“挖礦機”,大多數為Windows服務器實例。

  •  Linux.MulDrop.14惡意軟件利用暴露在網上的樹莓派設備挖礦。

  • 攻擊者通過SambaCry漏洞利用部署EternalMiner惡意軟件攻擊Linux服務器。

  •  Trojan.BtcMine.1259挖礦機使用NSA DobulePulsar感染Windows計算機。

  • 今年7月,DevilRobber加密貨幣挖礦軟件成為第二大熱門Mac惡意軟件。

  • 安全記者Brian Krebs提到門羅幣挖礦軟件Linux.BTCMine.26。

  •  CoinMiner活動利用“永恆之藍”和WMI感染用戶。

  •  Zminer木馬被發現感染Amazon S3服務器

  • CodeFork團伙使用無文件惡意軟件推送門羅幣挖礦軟件。

  •  Hiking Club惡意廣告活動通過Neptune Exploit Kit釋放門羅幣挖礦軟件。

  •  CS:GO攻擊分子傳送針對MacOS用戶的門羅幣挖礦軟件。

  •  Jimmy銀行木馬新增門羅幣挖礦支持功能。

  •  新的門羅幣挖礦軟件通過通訊社交軟件Telegram宣傳。

  •  門羅幣挖礦Chrome擴展程序出現在用戶瀏覽器內。

  • 新型Redatup惡意軟件變種包含門羅幣挖礦功能。

  • 加密貨幣挖礦惡意廣告出現用戶瀏覽器中。

注:本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/941403953.shtml


相關閱讀:

  • 全球165萬臺設備被感染,電腦變殭屍挖礦軍!

  • 2893臺比特幣挖礦設備無密碼裸奔在互聯網

  • 比WannaCry還厲害的Adylkuzz挖礦僵屍網絡是怎麼被發現的?

  • 如何利用SS7漏洞竊取比特幣?

  • 比特幣“玩家”小心被銀行木馬TrickBot盯上

  • 朝鮮現在靠什麼掙錢?每月盜取一億韓元比特幣!

  • 比特幣交易並沒有用戶想象中安全


點擊閱讀原文查看更多精彩內容

閱讀原文

TAGS:挖礦惡意軟件挖礦機挖礦工具