永利402com官方网站Monroe币恶意挖矿机已对准Linux和Windows服务器,新恶意软件SpeakUp

Check Point的威胁情报主管Lotem
Finkelsteen表示:“SpeakUp利用了六种不同Linux发行版中的已知漏洞,能藏在设备上等待某人发送命令或其他恶意软件进行下一阶段。例如,等待在机器上安装第二阶段恶意软件并执行一些命令,又或是收集密码和拦截所有通信。”

门罗币挖矿恶意软件不断增多

近几个月,加密货币挖矿攻击企图猖獗,尤其是门罗币挖矿恶意软件。除了门罗币劫持事件,2017年出现了众多门罗币挖矿恶意软件,包括Digmine、
Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人员在2018年年初的两周就已经发现针对Linux服务器的恶意软件PyCryptoMiner,此外,研究人员还发现有黑客利用Oracle
WebLogic漏洞开采门罗币。

上述提到的大多数瞄准Web服务器的挖矿攻击事件中,攻击者尝试利用最近的漏洞利用。但是,RubyMiner较特殊,因为攻击者使用的是非常老旧的漏洞利用。芬克尔斯坦表示,攻击者可能一直在故意搜寻系统管理员遗忘在网络上的PC以及使用老旧版本的服务器。感染这些设备意味着能长期潜伏进行挖矿。

利用ThinkPHP漏洞进行攻击只是整个木马感染设备的开始。之后,黑客将能修改本地cron实用程序以获得权限,由此执行从远程C&C服务器下载的文件、运行shell命令或者卸载升级自己。

Check
Point和Certego发布报告指出,近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用,在网上搜寻老旧的Web服务器,企图感染目标。

此外,SpeakUp还有一个内置的Python脚本,该脚本可以让恶意软件在本地网络上传播。Python脚本会使用预先定义的登录凭据列表自动扫描本地网络以定位打开的端口并识别最近区域的系统漏洞。

RubyMiner已感染700台服务器

据Check
Point预估,RubyMiner感染的服务器数量大约有700台。从RubyMiner部署的自定义挖矿程序中发现的钱包地址来看,攻击者赚取了约540美元。

由研究人员认为,如果攻击者使用最近的漏洞利用,而非十年前的漏洞,其成功率会更高。比如,最近媒体报道称,2017年10月攻击者曾利用Oracle
WebLogic服务器赚取了22.6万美元。

据了解,该恶意软件以其命令和控制域名SpeakUpOmaha[dot]com命名,后者因后端运行C&C代码而受到攻击。目前,SpeakUp后门木马用于针对东亚和拉丁美洲服务器的加密活动,包括在AWS上托管的系统。

攻击者瞄准Linux和Windows服务器

Ixia的安全研究人员斯蒂芬·塔纳斯(Stefan
Tanase)向外媒表示,RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器,攻击者会利用已知的漏洞利用实施入侵,并利用RubyMiner进一步感染目标。

Check
Point和Ixia公司称,它们发现攻击者在近期这起攻击活动中部署以下漏洞利用:

Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)

PHP php-cgi
查询字符串参数代码执行漏洞
(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、
CVE-2013-4878)

微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)

显而易见,RubyMiner的目标是Windows和Linux系统。

相关文章