MINER:騰訊御見：“8220”挖礦木馬入侵服務器挖礦，可發起DDoS攻擊_goldminer幣圈

騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞，Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外，“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器，在其使用的FTP服務器上，可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時，會檢查服務器是否有其他挖礦木馬運行，將所有競爭挖礦木馬進程結束，以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素，騰訊安全專家認為，2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口，根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結，發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。

騰訊御見：GuardMiner挖礦木馬近期活躍，較多企業已中招:騰訊安全威脅情報中心檢測到跨平臺挖礦木馬GuardMiner近期十分活躍，該木馬會掃描攻擊Redis、Drupal、Hadoop、Spring、thinkphp等多個服務器組件漏洞，并在攻陷的Windows和Linux系統中分別執行惡意腳本，惡意腳本會進一步下載門羅幣挖礦木馬、清除競品挖礦木馬并進行本地持久化運行。因該病已具備蠕蟲化主動攻擊擴散的能力，近期已有較多企業中招。[2020/6/24]

動態 | 騰訊御見：捕獲到一起針對某大型加密貨幣交易所客服人員的魚叉式定向攻擊:騰訊安全御見威脅情報中心發文稱，近日，捕獲到一起針對某大型數字加密幣交易平臺客服人員的魚叉式定向攻擊。攻擊者自稱為幣圈資深用戶，由于對該交易平臺客服不滿，進而對比了該平臺與其競爭關系的xx平臺，并列出多條建議在郵件附件中，希望該平臺做出改進。

郵件附件中包含了一個名為“客服和xx投訴對比和記錄2019.xls”的電子表格文件，該文件為攻擊誘餌文件，攜帶Excel 4.0 XLM宏代碼，當接收郵件的客服人員打開該文件，且允許執行其中的宏代碼，宏代碼將拉取一個偽裝為HelloWorld的惡意程序執行，最終經過多層惡意代碼解密，執行Cobalt Strike遠控后門。一旦客服人員機器被成功植入木馬，攻擊者則可以輕易的獲取到交易平臺內部信息資料，甚至通過該客服機器作為跳板機，入侵交易所內部核心機密數據，最終導致平臺遭受不可預估的損失。最壞的情況下，可能導致交易平臺數字虛擬幣被盜。[2019/8/29]

動態 | 騰訊御見：即便支付比特幣贖金，受GermanWiper攻擊的文件也不能恢復:騰訊御見發文稱，GermanWiper通過包含虛假工作申請的垃圾郵件發送，垃圾郵件的ZIP附件包含惡意LNK文件。下載到設備后，惡意軟件會覆蓋本地文件的內容，使這些文件無法恢復，之后，病會將文件擴展名更改為五個隨機字母數字組成的字串。一旦文件的內容被重寫，用受感染設備的瀏覽器打開用德語寫的贖金消息，要求用價值1500美元的比特幣換取解密密鑰。然而，即使支付了贖金，被重寫的文件也將不能被恢復，文件已被永久覆蓋。[2019/8/13]

Tags：MINEMINERNERINEGMINESMineralgoldminer幣圈MOONMINER

ETH