NER:騰訊御見：“8220”挖礦木馬入侵服務器挖礦，可發起DDoS攻擊_Minereum BSC

騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外，“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素，騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。

騰訊御見：警惕BasedMiner挖礦木馬爆破SQL弱口令攻擊:騰訊安全威脅情報中心檢測到針對Windows服務器進行攻擊的挖礦木馬BasedMiner。該挖礦木馬團伙主要針對MS SQL服務進行爆破弱口令攻擊，爆破成功后會下載Gh0st遠控木馬對系統進行控制，還會利用多個Windows漏洞進行提權攻擊獲得系統最高權限，最后植入門羅幣挖礦木馬進行挖礦，目前已獲利8000元。[2020/7/19]

聲音 | 騰訊御見：“老虎”挖礦木馬通過社會工程騙術傳播 已感染北京等地超過5000臺電腦:騰訊安全御見威脅情報中心檢測到通過社會工程騙術傳播的“老虎”挖礦木馬（LaofuMiner）。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“內容”、“隱私資料”、“詐騙技巧”等文件名，通過社交網絡發送到目標電腦，受害者雙擊查看文件立刻被安裝“大灰狼”遠控木馬。攻擊者通過遠控木馬控制中電腦下載挖礦木馬，中電腦隨即淪為礦工，該木馬已感染近5000臺電腦。因其挖礦使用的自建礦池包含字符“laofubtc”，御見威脅情報中心將其命名為老虎挖礦木馬（LaofuMiner），通過騰訊安圖系統溯源，發現這個老虎挖礦木馬同2018年其他安全廠商報告的灰熊挖礦木馬（BearMiner）同屬一個黑產團伙。根據統計數據，老虎挖礦木馬（LaofuMiner）已感染超過5000臺電腦，影響最嚴重地區為北京、廣東、上海、河南、山東等地。[2019/12/5]

動態 | 騰訊御見：Hermit此次攻擊主要針對區塊鏈、數字貨幣等:騰訊安全御見威脅情報中心稱，再次監測到Hermit（隱士）繼續針對朝鮮半島進行的APT攻擊活動。通過分析和溯源，我們發現本次攻擊活動主要針對區塊鏈、數字貨幣、金融目標等，但是我們也發現了同樣針對外交實體的一些攻擊活動。技術手段類似，但是也有一定的更新，如通過下載新的doc文檔來完成后續的攻擊以及使用AMADEY家族的木馬。而最終目標依然為運行開源的babyface遠控木馬。此外，傳統的Syscon/Sandy家族的后門木馬也依然活躍。[2019/5/26]

Tags：NERMINEINEMINERCoinMoonerUnderMineGoldgoldminer幣背后資金實力Minereum BSC

比特幣