殭屍網路Prowli感染9000家企業的設備，中國公司較多

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月8日訊 以色列網路安全公司 GuardiCore 的安全團隊發現，網路犯罪分子設法組建了一個龐大殭屍網路「Prowli」， 該網路由4萬多台被感染的 Web 伺服器、調製調解器和其它物聯網（IoT）設備組成。 Prowli 殭屍網路的操縱者利用漏洞和暴力破解攻擊感染並控制設備。受影響的有9000多家公司，這些公司主要位於中國、俄羅斯、美國等國家。

Prowli如何感染受害者？

Prowli 惡意軟體被用於加密貨幣的挖掘，並將用戶定位到惡意站點。這是一個多樣化的操作系統，依賴於漏洞和憑證的暴力攻擊來感染和接管設備。Prowli 近幾個月感染的已知伺服器和設備等如下：

• ?WordPress 站點（利用幾個漏洞和針對管理面板的暴力破解攻擊）

• ?運行 K2 擴展的 Joomla! 站點（利用漏洞CVE-2018-7482）

• ?幾款 DSL 調製調解器（利用已知漏洞）

• ?運行惠普 HP Data Protector 軟體的伺服器（利用CVE-2014-2623）

• ?Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開放 SMB 埠的伺服器（暴力破解憑證）

此外，Prowli 的操縱者還了運行了 SSH 掃描器模塊，嘗試猜測暴露 SSH 埠的設備用戶名和密碼。

一旦伺服器或物聯網設備遭受攻擊，Prowli 操縱者便會確定這些設備是否可用於挖礦。確定之後，操縱者通過門羅幣挖礦程序和 R2R2 蠕蟲對其進行感染。R2R2 蠕蟲會對被黑的設備執行 SSH 暴力攻擊，並幫助 Prowli 殭屍網路進一步擴大規模。

此外，運行網站的 CMS 平台遭遇了後門感染（WSO Web Shell）。攻擊者通過 WSO Web Shell 修改被攻擊的網站，託管惡意代碼將站點的部分訪客重定向至流量分配系統（TDS），然後由TDS將劫持的網路流量租給其它攻擊者，並將用戶重定向至各種惡意網站，例如虛假的技術支持網站和更新網站。

GuardiCore 公司表示，攻擊者使用的 TDS 系統為 EITest（又被稱為 ROI777）。2018年3月，ROI777 遭到黑客攻擊，其部分數據被泄露到網上後，網路安全公司於4月關閉了該系統。儘管如此，這似乎並沒有阻止 Prowli 殭屍網路的行動步伐。

受影響區域，顏色越深越嚴重

根據研究人員的說法，攻擊者精心設計並優化了整起行動，Prowli 惡意軟體感染了9000多家公司網路上逾4萬台伺服器和設備，然後利用這些設備卯足勁賺錢，該軟體的受害者遍布全球。

GuardiCore 在報告中提到 Prowli 的攻擊指示器（IoC）和其它詳情，系統管理員可利用這些信息檢查其 IT 網路是否遭遇攻擊。

報告地址：http://t.cn/R1epLIc

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！