攻击者利用WordPress、Joomla和JBoss服务器“挖矿”
E安全9月22日讯 IBM X-Force团队收集的遥测数据显示,今年1月~8月,在企业网络上安装加密货币挖矿工具的攻击数量增长六倍。
卡巴斯基近期发布报告指出,今年前8个月,加密货币挖矿恶意软件感染了165万余台运行卡巴斯基解决方案的设备。
卡巴斯基收集的数据主要来自桌面终端,而IBM收集的遥测数据来自服务器和其它企业系统。
攻击者在虚假镜像文件中隐藏加密货币“挖矿机”
IBM表示,前8个月的大多数感染出自相同的挖矿工具和类似的感染技术。
IBM的Dave McMillen(戴夫·麦克米伦)接受外媒电子邮件采访时表示,攻击者首先使用大量漏洞利用攻击CMS平台(例如WordPress、Joomla和JBoss服务器),之后发起CMDI(命令注入)攻击,从而安装加密货币挖矿工具。
McMillen表示,攻击者借助隐写术,将挖矿工具隐藏在虚假镜像文件内,存储在运行Joomla或WordPress的被黑Web服务器或被黑JBoss应用服务器上。
McMillen指出,攻击者通常会下载自定义版本的合法挖矿工具,例如Minerd、kworker。大多数情况下攻击者会瞄准门罗币(Monero)等基于CryptoNote协议的货币。
所有垂直行业均中招
McMillen补充称,研究人员无法确定攻击组织或被感染服务器的数量,但攻击者并不会挑三拣四,任何能感染的目标均不会放过。
被感染的服务器分布在多个垂直行业,包括制造业、金融行业、零售业、IT和通信等。
Mirai版挖矿恶意软件暂别江湖
今年4月IBM X-Force团队发现的一款具备加密货币挖矿功能的Mirai物联网恶意软件。
许多专家预测,这款恶意软件还会重现江湖。但McMillen表示,目前尚未发现部署挖矿功能的新Mirai恶意软件,对于攻击者而言,利用物联网挖矿可能还处于PoC阶段。他预计攻击者会以同样的攻击方式针对服务器和桌面终端,因为这两大目标是相当有利可图的挖矿环境。
IBM和卡巴斯基报告称,加密货币恶意挖矿软件呈现增长的趋势。过去几个月浮出水面的虚拟货币挖矿恶意软件的感染事件包括:
今年1月,Terror Exploit Kit释放门罗币“挖矿机”。
某些Mirai僵尸网络变种测试加密货币挖矿功能。
加密货币“挖矿机”通过“永恒之蓝”漏洞部署。
Bondnet僵尸网络在约1.5万台计算机上安装门罗币“挖矿机”,大多数为Windows服务器实例。
Linux.MulDrop.14恶意软件利用暴露在网上的树莓派设备挖矿。
攻击者通过SambaCry漏洞利用部署EternalMiner恶意软件攻击Linux服务器。
Trojan.BtcMine.1259挖矿机使用NSA DobulePulsar感染Windows计算机。
今年7月,DevilRobber加密货币挖矿软件成为第二大热门Mac恶意软件。
安全记者Brian Krebs提到门罗币挖矿软件Linux.BTCMine.26。
CoinMiner活动利用“永恒之蓝”和WMI感染用户。
Zminer木马被发现感染Amazon S3服务器
CodeFork团伙使用无文件恶意软件推送门罗币挖矿软件。
Hiking Club恶意广告活动通过Neptune Exploit Kit释放门罗币挖矿软件。
CS:GO攻击分子传送针对MacOS用户的门罗币挖矿软件。
Jimmy银行木马新增门罗币挖矿支持功能。
新的门罗币挖矿软件通过通讯社交软件Telegram宣传。
门罗币挖矿Chrome扩展程序出现在用户浏览器内。
新型Redatup恶意软件变种包含门罗币挖矿功能。
加密货币挖矿恶意广告出现用户浏览器中。
https://www.easyaq.com/news/941403953.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容