多家三甲醫院伺服器遭入侵，黑客趕走挖礦木馬獨享挖礦資源

騰訊御見威脅情報中心近期檢測到廣東、重慶多家三甲醫院伺服器被黑客入侵，攻擊者暴力破解醫院伺服器的遠程登錄服務，之後利用有道筆記的分享文件功能下載多種挖礦木馬。

攻擊者將挖礦木馬偽裝成遠程協助工具Teamviewer運行，攻擊者的挖礦木馬會檢測多達50個常用挖礦程序的進程，將這些程序結束進程後獨佔伺服器資源挖礦。該挖礦木馬還會通過修改註冊表，破壞操作系統安全功能：禁用UAC（用戶帳戶控制）、禁用Windows Defender，關閉運行危險程序時的打開警告等等。

已知樣本分析發現，攻擊者使用的挖礦木馬擁有多個礦池，開挖的山寨加密幣包括：門羅幣（XMR）、以太坊（ETH）、零幣（ZEC）等等，從礦池信息看，目前攻擊者已累積獲利達40餘萬元人民幣。

騰訊御見威脅情報中心已發現有關病毒作者的線索，這位挖礦木馬的控制者使用同一個ID在各類黑客論壇、開發者論壇活躍時間長達十年以上。

據騰訊御見威脅情報中心統計分析，我國醫療機構開放遠程登錄服務（埠號：22）的比例高達50%，這意味著有一半的伺服器可能遭遇相同的攻擊。

文章出處：網易科技

你可能喜歡

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！