链闻消息,腾讯主机安全捕获到挖矿木马4SHMiner利用ApacheShiro反序列化漏洞CVE-2016-4437针对云服务器的攻击行动。4SHMiner挖矿团伙入侵成功后会执行命令下载4.sh,然后下载XMRig挖矿木马并通过Linuxservice、systemctl服务,系统配置文件$HOME/.profile,crontab定时任务等实现持久化运行。通过其使用的门罗币钱包算力(约333KH/s)进行推算,4SHMiner挖矿木马团伙已控制约1.5万台服务器进行挖矿,根据算力突变数据可知其在2020.11.16至17日一天之内就新增感染近1万台机器。安全专家建议企业及时检查服务器是否部署了低于1.2.5版本的ApacheShiro,并将其升级到1.2.5及以上版本。
z0Miner挖矿木马利用Weblogic最新漏洞入侵5000台服务器:11月3日消息,腾讯主机安全(云镜)于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动。根据该团伙控制的算力推算,已有大约5000台服务器受害。由于Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)10月21日才被官方公布,有许多企业未来得及修复,同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马可能对云主机造成较大威胁。(腾讯安全威胁情报中心)[2020/11/3 11:33:44]
腾讯御见:“8220”挖矿木马入侵服务器挖矿,可发起DDoS攻击:腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。此外,“8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独占服务器资源。根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器等因素,腾讯安全专家认为,2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口,根据近期捕获到的样本对其攻击偏好使用的文件名进行总结,发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。[2020/5/9]
声音 | 腾讯御见:“Agwl”团伙通过入侵服务器下载释放“永恒之蓝”漏洞攻击等 进而植入挖矿木马:据腾讯御见威胁情报中心发文称,近日,御见威胁情报中心检测到“Agwl”团伙针对phpStudy网站服务器再度发起攻击,此次攻击“升级”后,被入侵服务器会下载释放“永恒之蓝”漏洞攻击、SQL爆破攻击。爆破攻击成功则通过cmd_shell下载植入木马http[:]//down.us-hack.ru/wk.exe。wk.exe会继续下载挖矿木马及远控木马,同时下载SQL爆破、“永恒之蓝”漏洞利用、Apache Solr漏洞(CVE-2019-0193)利用三种攻击方式进一步扩散传播病。此次受“Agwl”团伙攻击影响超过一万台服务器,影响严重地区分别北京、广东和浙江。据悉,2017年5月12日起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。被袭击的设备被锁定,并索要300美元比特币赎金。[2019/9/26]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。