MIN:腾讯御见：有攻击者利用 Hadoop Yarn REST API 未授权漏洞攻击云主机，安装挖矿木马等

链闻消息，腾讯安全威胁情报中心检测到有攻击者利用HadoopYarnRESTAPI未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRCBotNet后门、DDoS攻击木马，入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程，以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。建议用户尽快修复HadoopYarnRESTAPI未授权命令执行漏洞，避免采用弱口令。

腾讯御见：Mykings僵尸网络已控制超5万台电脑进行挖矿作业:腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马，更新后的Mykings会在被感染系统安装开源远程控制木马PcShare，会卸载竞品挖矿木马和旧版挖矿木马。根据门罗币钱包算力1000KH/s进行推测，Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。[2020/9/10]

声音 | 腾讯御见：挖矿资源争夺加剧，WannaMine多种手法驱赶竞争者:腾讯御见威胁情报中心今日发文表示，腾讯安全御见威胁情报中心检测到WannaMine挖矿僵尸网络再度更新，WannaMine最早于2017年底被发现，主要采用Powershell“无文件”攻击组成挖矿僵尸网络。更新后的WannaMine具有更强的传播性，会采用多种手法清理、阻止竞争木马的挖矿行为，同时安装远控木马完全控制中系统。更新后的WannaMine病具有以下特点：

1.利用“永恒之蓝”漏洞攻击传播；

2.利用mimiktaz抓取域登录密码结合WMI的远程执行功能在内网横向移动；

3.通过添加IP策略阻止本机连接对手木马的47个矿池，阻止其他病通过“永恒之蓝”漏洞入侵；

4.添加计划任务，WMI事件消费者进行持久化攻击，删除“MyKings”病的WMI后门；

5.利用COM组件注册程序regsvr32执行恶意脚本；

6.利用WMIClass存取恶意代码；

7.在感染机器下载Gh0st远控木马conhernece.exe和门罗币挖矿木马steam.exe。[2020/1/7]

声音 | 腾讯御见：BuleHero挖矿蠕虫再出变种，新增4899端口爆破攻击:据腾讯御见威胁情报中心今日发文称，最新的BuleHero挖矿蠕虫新增4899端口(远程桌面管理工具Remote Administrator使用的默认端口)爆破，增加了NSA武器(除了“永恒之蓝”，还使用“永恒浪漫”、“永恒冠军”)攻击，使该病在内网横向传播的能力得以加强，BuleHero挖矿蠕虫还会向目标电脑释放Gh0st修改版远控木马。[2019/7/5]

标签：MINKINGKINNAMgemini求婚了BKINGBABYDOGEKINGNAMI币

XRP热门资讯