NER:挖礦木馬4SHMiner利用漏洞針對云服務器攻擊，已控制約1.5萬臺服務器挖礦_Ice Rock Mining

11月18日，騰訊安全威脅情報中心表示，騰訊主機安全捕獲到挖礦木馬4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437針對云服務器的攻擊行動。4SHMiner挖礦團伙入侵成功后會執行命令下載4.sh，然后下載XMRig挖礦木馬并通過Linuxservice、systemctl服務，系統配置文件$HOME/.profile，crontab定時任務等實現持久化運行。通過其使用的門羅幣錢包算力(約333KH/s)進行推算，4SHMiner挖礦木馬團伙已控制約1.5萬臺服務器進行挖礦，根據算力突變數據可知其在2020.11.16至17日一天之內就新增感染近1萬臺機器。安全專家建議企業及時檢查服務器是否部署了低于1.2.5版本的ApacheShiro，并將其升級到1.2.5及以上版本。

騰訊御見：永恒之藍出現新變種運行門羅幣挖礦木馬:7月9日，騰訊安全威脅情報中心發文稱，檢測到永恒之藍下載器木馬再次出現新變種，此次變種利用Python打包EXE可執行文件進行攻擊，該組織曾在2018年底使用過類似手法。騰訊安全大數據監測數據顯示，永恒之藍下載器最新變種出現之后便迅速傳播，目前已感染約1.5萬臺服務器，中系統最終用于下載運行門羅幣挖礦木馬。[2020/7/13]

騰訊御見：“貪吃蛇”挖礦木馬升級提權工具，對企業網絡威脅加劇?:騰訊安全威脅情報中心檢測到新版“貪吃蛇”挖礦木馬。“貪吃蛇”挖礦木馬團伙主要針對MS SQL服務進行爆破弱口令攻擊，爆破成功后會進行提權攻擊獲得系統權限，然后植入門羅幣挖礦木馬以及大灰狼遠控木馬。新版“貪吃蛇”首先病對提權工具進行更新，病爆破成功之后提權獲得系統權限的概率得以大幅提升。其清理的競品挖礦木馬也比舊版更多, 病還會添加Windows防火墻規則阻止其他挖礦木馬入侵。騰訊安全專家建議企業網管盡快糾正MS SQL服務器存在的弱口令風險，避免黑客遠程爆破成功。[2020/6/21]

動態 | NSABuffMiner挖礦木馬對企業內網的攻擊正在增長:據騰訊御見威脅情報中心消息，有用戶反饋稱，企業內部大量機器均被莫名創建賬戶名為“mm123$”的用戶。經過現場收集證據以及大數據溯源，確認為NSABuffMiner新變種。該變種已然成為一個挖礦僵尸網絡，通過騰訊安圖發現該挖礦木馬的感染量在持續增長。 該病母體圖標與文件信息均偽裝為“某安全軟件防護中心模塊”，以便逃過手工查殺。該病運行之后，會上傳系統相關信息，占用系統部分資源進行挖礦。部分資源用于向內網與外網同時擴散攻擊，攻擊成功后，將被攻陷的機器變為“肉雞”以執行上述惡意行為，循環反復。[2019/4/28]

Tags：NERMINEINEMINMeta MinerCryptoMines ClassicIce Rock Mining

MATIC