INE:挖矿木马4SHMiner利用漏洞针对云服务器攻击，已控制约1.5万台服务器挖矿

11月18日，腾讯安全威胁情报中心表示，腾讯主机安全捕获到挖矿木马4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437针对云服务器的攻击行动。4SHMiner挖矿团伙入侵成功后会执行命令下载4.sh，然后下载XMRig挖矿木马并通过Linuxservice、systemctl服务，系统配置文件$HOME/.profile，crontab定时任务等实现持久化运行。通过其使用的门罗币钱包算力(约333KH/s)进行推算，4SHMiner挖矿木马团伙已控制约1.5万台服务器进行挖矿，根据算力突变数据可知其在2020.11.16至17日一天之内就新增感染近1万台机器。安全专家建议企业及时检查服务器是否部署了低于1.2.5版本的ApacheShiro，并将其升级到1.2.5及以上版本。

攻击者利用Hadoop Yarn REST API未授权漏洞攻击云主机，安装挖矿木马等:腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马，入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。

攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程（可能是可疑挖矿木马，也可能是正常服务），以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。

通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。

本次攻击具有蠕虫式的扩散传播能力，可下载安装后门、执行任意命令，发起DDoS攻击，对受害单位网络信息系统安全构成严重影响。建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞，避免采用弱口令，采用腾讯安全的技术方案检测系统，清除威胁。[2021/1/28 14:14:13]

挖矿木马SysupdataMiner利用漏洞攻击Windows、Linux:腾讯御见威胁情报中心今日发文称，近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播，然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。在感染的机器上，SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载，会通过多种特征检测其他挖矿木马并进行清除，然后下载门罗币挖矿木马sysupdata并启动SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件，可进行跨平台攻击。[2020/3/8]

声音 | 挖矿木马仍是企业服务器被攻陷后植入的主要木马类型:腾讯御见威胁情报中心今日发文称，挖矿木马仍是企业服务器被攻陷后植入的主要木马类型。2019年三月份挖矿木马感染处于峰值，随后逐步下降，感染量基本稳定持平。被植入挖矿木马的服务器其感染渠道主要是通过爆破进行入侵，最常见的有MSSQL，RDP爆破。此外永恒之蓝等高危系统漏洞也是被利用入侵的重要手段。[2020/2/24]

标签：INEMINERNERMINEcoinex交易所官网Midas MinerMinereum BSCMinebase

莱特币价格热门资讯