攻擊者利用WordPress、Joomla和JBoss伺服器「挖礦」

E安全9月22日訊 IBM X-Force團隊收集的遙測數據顯示，今年1月~8月，在企業網路上安裝加密貨幣挖礦工具的攻擊數量增長六倍。

卡巴斯基近期發布報告指出，今年前8個月，加密貨幣挖礦惡意軟體感染了165萬餘台運行卡巴斯基解決方案的設備。

卡巴斯基收集的數據主要來自桌面終端，而IBM收集的遙測數據來自伺服器和其它企業系統。

攻擊者在虛假鏡像文件中隱藏加密貨幣「挖礦機」

IBM表示，前8個月的大多數感染出自相同的挖礦工具和類似的感染技術。

IBM的Dave McMillen（戴夫·麥克米倫）接受外媒電子郵件採訪時表示，攻擊者首先使用大量漏洞利用攻擊CMS平台（例如WordPress、Joomla和JBoss伺服器），之後發起CMDI（命令注入）攻擊，從而安裝加密貨幣挖礦工具。

McMillen表示，攻擊者藉助隱寫術，將挖礦工具隱藏在虛假鏡像文件內，存儲在運行Joomla或WordPress的被黑Web伺服器或被黑JBoss應用伺服器上。

McMillen指出，攻擊者通常會下載自定義版本的合法挖礦工具，例如Minerd、kworker。大多數情況下攻擊者會瞄準門羅幣（Monero）等基於CryptoNote協議的貨幣。

所有垂直行業均中招

McMillen補充稱，研究人員無法確定攻擊組織或被感染伺服器的數量，但攻擊者並不會挑三揀四，任何能感染的目標均不會放過。被感染的伺服器分布在多個垂直行業，包括製造業、金融行業、零售業、IT和通信等。

今年4月IBM X-Force團隊發現的一款具備加密貨幣挖礦功能的Mirai物聯網惡意軟體。

許多專家預測，這款惡意軟體還會重現江湖。但McMillen表示，目前尚未發現部署挖礦功能的新Mirai惡意軟體，對於攻擊者而言，利用物聯網挖礦可能還處於PoC階段。他預計攻擊者會以同樣的攻擊方式針對伺服器和桌面終端，因為這兩大目標是相當有利可圖的挖礦環境。

IBM和卡巴斯基報告稱，加密貨幣惡意挖礦軟體呈現增長的趨勢。過去幾個月浮出水面的虛擬貨幣挖礦惡意軟體的感染事件包括：

• 今年1月，Terror Exploit Kit釋放門羅幣「挖礦機」。

• 某些Mirai殭屍網路變種測試加密貨幣挖礦功能。

• 加密貨幣「挖礦機」通過「永恆之藍」漏洞部署。

• Bondnet殭屍網路在約1.5萬台計算機上安裝門羅幣「挖礦機」，大多數為Windows伺服器實例。

• Linux.MulDrop.14惡意軟體利用暴露在網上的樹莓派設備挖礦。

• 攻擊者通過SambaCry漏洞利用部署EternalMiner惡意軟體攻擊Linux伺服器。

• Trojan.BtcMine.1259挖礦機使用NSA DobulePulsar感染Windows計算機。

• 今年7月，DevilRobber加密貨幣挖礦軟體成為第二大熱門Mac惡意軟體。

• 安全記者Brian Krebs提到門羅幣挖礦軟體Linux.BTCMine.26。

• CoinMiner活動利用「永恆之藍」和WMI感染用戶。

• Zminer木馬被發現感染Amazon S3伺服器

• CodeFork團伙使用無文件惡意軟體推送門羅幣挖礦軟體。

• Hiking Club惡意廣告活動通過Neptune Exploit Kit釋放門羅幣挖礦軟體。

• CS:GO攻擊分子傳送針對MacOS用戶的門羅幣挖礦軟體。

• Jimmy銀行木馬新增門羅幣挖礦支持功能。

• 新的門羅幣挖礦軟體通過通訊社交軟體Telegram宣傳。

• 門羅幣挖礦Chrome擴展程序出現在用戶瀏覽器內。

• 新型Redatup惡意軟體變種包含門羅幣挖礦功能。

• 加密貨幣挖礦惡意廣告出現用戶瀏覽器中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！