新闻快讯
< >

僵尸网络Prowli感染9000家企业的设备,中国公司较多

E安全6月8日讯 以色列网络安全公司 GuardiCore 的安全团队发现,网络犯罪分子设法组建了一个庞大僵尸网络“Prowli”, 该网络由4万多台被感染的 Web 服务器、调制调解器和其它物联网(IoT)设备组成。 Prowli 僵尸网络的操纵者利用漏洞和暴力破解攻击感染并控制设备。受影响的有9000多家公司,这些公司主要位于中国、俄罗斯、美国等国家。

Prowli恶意软件行动感染多国4万多台服务器、调制调解器和IoT设备-E安全

Prowli如何感染受害者?

Prowli 恶意软件被用于加密货币的挖掘,并将用户定位到恶意站点。这是一个多样化的操作系统,依赖于漏洞和凭证的暴力攻击来感染和接管设备。Prowli 近几个月感染的已知服务器和设备等如下:

  • ŸWordPress 站点(利用几个漏洞和针对管理面板的暴力破解攻击)

  • Ÿ运行 K2 扩展的 Joomla! 站点(利用漏洞CVE-2018-7482)

  • Ÿ几款 DSL 调制调解器(利用已知漏洞)

  • Ÿ运行惠普 HP Data Protector 软件的服务器(利用CVE-2014-2623)

  • ŸDrupal、PhpMyAdmin 安装程序、NFS 盒子、开放 SMB 端口的服务器(暴力破解凭证)

此外,Prowli 的操纵者还了运行了 SSH 扫描器模块,尝试猜测暴露 SSH 端口的设备用户名和密码。

Prowli恶意软件行动感染多国4万多台服务器、调制调解器和IoT设备-E安全

部署加密货币挖矿程序、后门和 SSH 扫描器

一旦服务器或物联网设备遭受攻击,Prowli 操纵者便会确定这些设备是否可用于挖矿。确定之后,操纵者通过门罗币挖矿程序和 R2R2 蠕虫对其进行感染。R2R2 蠕虫会对被黑的设备执行 SSH 暴力攻击,并帮助 Prowli 僵尸网络进一步扩大规模。

此外,运行网站的 CMS 平台遭遇了后门感染(WSO Web Shell)。攻击者通过 WSO Web Shell 修改被攻击的网站,托管恶意代码将站点的部分访客重定向至流量分配系统(TDS),然后由TDS将劫持的网络流量租给其它攻击者,并将用户重定向至各种恶意网站,例如虚假的技术支持网站和更新网站。

GuardiCore 公司表示,攻击者使用的 TDS 系统为 EITest(又被称为 ROI777)。2018年3月,ROI777 遭到黑客攻击,其部分数据被泄露到网上后,网络安全公司于4月关闭了该系统。尽管如此,这似乎并没有阻止 Prowli 僵尸网络的行动步伐。

Prowli恶意软件行动感染多国4万多台服务器、调制调解器和IoT设备-E安全

受影响区域,颜色越深越严重

“赚钱机器”

根据研究人员的说法,攻击者精心设计并优化了整起行动,Prowli 恶意软件感染了9000多家公司网络上逾4万台服务器和设备,然后利用这些设备卯足劲赚钱,该软件的受害者遍布全球。

GuardiCore 在报告中提到 Prowli 的攻击指示器(IoC)和其它详情,系统管理员可利用这些信息检查其 IT 网络是否遭遇攻击。

报告请戳

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。