逾50萬台Windows伺服器淪為門羅幣挖礦機，俄、印、台三地最嚴重

Smominru利用了美國國家安全局外流的攻擊工具EtnernalBlue，以散布入侵Windows伺服器，使其成為殭屍網路一員協助挖門羅幣（Monero幣）。據安全公司推估，約有50多萬台Windows伺服器淪陷，為黑客賺進8900個Monero幣，約280萬到360萬美元。

又有挖礦程序企圖利用Windows伺服器。安全研究公司Proofpoint發現名為Smominru的殭屍網路程序感染超過50萬台連網Windows伺服器，利用它們來挖Monero幣。而台灣則名列三大節點集中區。

Smominru又被稱為Ismo，它從2017年5月就開始在網路上利用美國國家安全局（NSA）外流的攻擊工具EtnernalBlue，開採Windows漏洞CVE-2017-0144散布、入侵Windows伺服器，然後利用受害機器來挖Monero幣。才不過一個月前國安局才被影子掮客駭入公布EnternalBlue等多項攻擊工具。而WannaCry也是約莫同時利用EnternalBlue攻擊全球上百萬電腦。

ProofPoint研究人員指出，Smominru最特殊的是它使用Windows Management Infrastructure來散布。他們根據Monero幣顯示的挖礦算力（hash power）來判斷，被Smominru收編到殭屍網路的機器約是去年5月為害的Adylkuzz的兩倍之多。攻擊者已經透過Smominru挖到將近8,900個Monero幣，本周兌換美元價值約為280萬到360萬美元。它每天可以挖24個Monero幣，等於每周賺進8,500美元。

研究人員利用sinkholing手法來分析殭屍網路規模及節點位置，判斷Smominru感染了超過52.6萬台Windows主機以建立殭屍網路，其中多半為伺服器，這些機器分布各地，但密度最高地區依序為俄羅斯、印度及台灣。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！