NER:騰訊御見：京廣多地超2萬臺電腦被挖礦，攻擊者利用永恒之藍漏洞橫向擴散_INE

騰訊御見威脅情報中心檢測到挖礦木馬家族Lcy2Miner感染量上升，工程師對該病的感染進行回溯調查。結果發現，有攻擊者搭建多個HFS服務器提供木馬下載，并在其服務器web頁面構造IE漏洞攻擊代碼。當存在漏洞的電腦被誘騙訪問攻擊網頁時，會觸發漏洞下載大灰狼遠程控制木馬。接著由遠控木馬下載門羅幣挖礦木馬和“永恒之藍”漏洞攻擊模塊，然后利用“永恒之藍”漏洞攻擊工具在企業內網攻擊傳播，最終攻擊者通過組建僵尸網絡挖礦牟利。截止目前該團伙已通過挖礦獲得門羅幣147個，市值約6.5萬元人民幣。數據顯示，該團伙控制的Lcy2Miner挖礦木馬已感染超過2萬臺電腦，影響眾多行業，互聯網服務、批發零售業、科技服務業位居前三。從病感染的地區分布來看，Lcy2Miner挖礦木馬在全國大部分地區均有感染，受害最嚴重的地區為北京、廣東、河南等地。

動態 | 騰訊御見：KingMiner礦工已控制上萬服務器:騰訊安全御見威脅情報中心檢測到KingMiner變種攻擊，KingMiner是一種針對Windows服務器MS SQL進行爆破攻擊的門羅幣挖礦木馬。該木馬最早于2018年6月中旬首次出現，并在隨后迅速發布了兩個改進版本。攻擊者采用了多種逃避技術來繞過虛擬機環境和安全檢測，導致一些反病引擎無法準確檢測。當前版本KingMiner具有以下特點：

1. 針對MSSQL進行爆破攻擊入侵；

2. 利用WMI定時器和Windows計劃任務進行持久化攻擊；

3. 關閉存在CVE-2019-0708漏洞機器上RDP服務，防止其他挖礦團伙入侵，以獨占服務器資源挖礦；

4. 使用base64和特定編碼的XML、TXT、PNG文件來加密木馬程序；

5. 利用微軟和多個知名廠商的簽名文件作為父進程，“白+黑”啟動木馬DLL。

根據騰訊安全御見威脅情報中心統計數據，KingMiner影響超過一萬臺電腦，其中受影響最嚴重的地區為廣東、重慶、北京、上海等地。（騰訊御見威脅情報中心 ）[2019/11/26]

動態 | 騰訊御見：捕獲到一起針對某大型加密貨幣交易所客服人員的魚叉式定向攻擊:騰訊安全御見威脅情報中心發文稱，近日，捕獲到一起針對某大型數字加密幣交易平臺客服人員的魚叉式定向攻擊。攻擊者自稱為幣圈資深用戶，由于對該交易平臺客服不滿，進而對比了該平臺與其競爭關系的xx平臺，并列出多條建議在郵件附件中，希望該平臺做出改進。

郵件附件中包含了一個名為“客服和xx投訴對比和記錄2019.xls”的電子表格文件，該文件為攻擊誘餌文件，攜帶Excel 4.0 XLM宏代碼，當接收郵件的客服人員打開該文件，且允許執行其中的宏代碼，宏代碼將拉取一個偽裝為HelloWorld的惡意程序執行，最終經過多層惡意代碼解密，執行Cobalt Strike遠控后門。一旦客服人員機器被成功植入木馬，攻擊者則可以輕易的獲取到交易平臺內部信息資料，甚至通過該客服機器作為跳板機，入侵交易所內部核心機密數據，最終導致平臺遭受不可預估的損失。最壞的情況下，可能導致交易平臺數字虛擬幣被盜。[2019/8/29]

動態 | 騰訊御見：Hermit此次攻擊主要針對區塊鏈、數字貨幣等:騰訊安全御見威脅情報中心稱，再次監測到Hermit（隱士）繼續針對朝鮮半島進行的APT攻擊活動。通過分析和溯源，我們發現本次攻擊活動主要針對區塊鏈、數字貨幣、金融目標等，但是我們也發現了同樣針對外交實體的一些攻擊活動。技術手段類似，但是也有一定的更新，如通過下載新的doc文檔來完成后續的攻擊以及使用AMADEY家族的木馬。而最終目標依然為運行開源的babyface遠控木馬。此外，傳統的Syscon/Sandy家族的后門木馬也依然活躍。[2019/5/26]

Tags：NERMINEMINERINESolar EnergyMINE幣PEPEMINERMinedrop

狗狗幣價格