挖礦木馬4SHMiner利用漏洞針對云服務器攻擊 已控制約1.5萬臺服務器挖礦_MIN

據騰訊安全威脅情報中心消息，騰訊主機安全捕獲到挖礦木馬4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437針對云服務器的攻擊行動。4SHMiner挖礦團伙入侵成功后會執行命令下載4.sh，然后下載XMRig挖礦木馬并通過Linuxservice、systemctl服務，系統配置文件$HOME/.profile，crontab定時任務等實現持久化運行。通過其使用的門羅幣錢包算力(約333KH/s)進行推算，4SHMiner挖礦木馬團伙已控制約1.5萬臺服務器進行挖礦，根據算力突變數據可知其在2020.11.16至17日一天之內就新增感染近1萬臺機器。安全專家建議企業及時檢查服務器是否部署了低于1.2.5版本的ApacheShiro，并將其升級到1.2.5及以上版本。

攻擊者利用Hadoop Yarn REST API未授權漏洞攻擊云主機，安裝挖礦木馬等:騰訊安全威脅情報中心檢測到有攻擊者利用Hadoop Yarn REST API未授權命令執行漏洞攻擊云上主機，攻擊成功后執行惡意命令，向系統植入挖礦木馬、IRC BotNet后門、DDoS攻擊木馬，入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。

攻擊者入侵成功后，會清理系統進程和文件，以清除其他資源占用較高的進程（可能是可疑挖礦木馬，也可能是正常服務），以便最大化利用系統資源。入侵者同時會配置免密登錄后門，以方便進行遠程控制，入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。

通過對木馬家族進行關聯分析，發現本次攻擊活動與永恒之藍下載器木馬關聯度極高，攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致，但尚不能肯定攻擊活動由這兩個團伙發起。

本次攻擊具有蠕蟲式的擴散傳播能力，可下載安裝后門、執行任意命令，發起DDoS攻擊，對受害單位網絡信息系統安全構成嚴重影響。建議用戶盡快修復Hadoop Yarn REST API未授權命令執行漏洞，避免采用弱口令，采用騰訊安全的技術方案檢測系統，清除威脅。[2021/1/28 14:14:13]

數據：十月份網絡病中挖礦木馬占多數 感染呈正常波動態勢:11月6日消息，騰訊安全大數據顯示，惡意家族活躍趨勢在十月下旬有一次明顯上升過程，2天后攻擊回落到日常水平。十月份是挖礦木馬一邊倒領先。在前10大惡意家族中，有7個是挖礦木馬家族，另3個僵尸網絡團伙，也會控制肉雞電腦進行挖礦活動。10月挖礦木馬感染呈正常波動態勢，月初受假日影響，辦公電腦開機率低，病感染也較低，之后略有上升。（騰訊安全威脅情報中心）[2020/11/6 11:52:19]

門羅幣的挖礦木馬熱度最高:近日，騰訊安全實驗室統計了挖礦木馬所連接的礦池地址，發現國內挖礦用戶最喜愛使用的礦池地址為pool.minexmr.com。其對應挖取的熱門幣種為門羅幣，其次分別是以太幣、比特幣鉆石、狗狗幣、超級現金，其他幣種則非常少見。[2018/3/27]

Tags：MINMINEINEAPIBmining TokenMiner X ProtocolALPINE價格SF Capital

加密貨幣