新闻快讯
< >

攻击者利用WordPress、Joomla和JBoss服务器“挖矿”

E安全9月22日讯 IBM X-Force团队收集的遥测数据显示,今年1月~8月,在企业网络上安装加密货币挖矿工具的攻击数量增长六倍。

卡巴斯基近期发布报告指出,今年前8个月,加密货币挖矿恶意软件感染了165万余台运行卡巴斯基解决方案的设备。

攻击者利用WordPress、Joomla和JBoss服务器“挖矿”-E安全

卡巴斯基收集的数据主要来自桌面终端,而IBM收集的遥测数据来自服务器和其它企业系统。

攻击者在虚假镜像文件中隐藏加密货币“挖矿机”

IBM表示,前8个月的大多数感染出自相同的挖矿工具和类似的感染技术。

IBM的Dave McMillen(戴夫·麦克米伦)接受外媒电子邮件采访时表示,攻击者首先使用大量漏洞利用攻击CMS平台(例如WordPress、Joomla和JBoss服务器),之后发起CMDI(命令注入)攻击,从而安装加密货币挖矿工具。

McMillen表示,攻击者借助隐写术,将挖矿工具隐藏在虚假镜像文件内,存储在运行Joomla或WordPress的被黑Web服务器或被黑JBoss应用服务器上。

McMillen指出,攻击者通常会下载自定义版本的合法挖矿工具,例如Minerd、kworker。大多数情况下攻击者会瞄准门罗币(Monero)等基于CryptoNote协议的货币。

所有垂直行业均中招

McMillen补充称,研究人员无法确定攻击组织或被感染服务器的数量,但攻击者并不会挑三拣四,任何能感染的目标均不会放过。
被感染的服务器分布在多个垂直行业,包括制造业、金融行业、零售业、IT和通信等。

攻击者利用WordPress、Joomla和JBoss服务器“挖矿”-E安全

Mirai版挖矿恶意软件暂别江湖

今年4月IBM X-Force团队发现的一款具备加密货币挖矿功能的Mirai物联网恶意软件。

许多专家预测,这款恶意软件还会重现江湖。但McMillen表示,目前尚未发现部署挖矿功能的新Mirai恶意软件,对于攻击者而言,利用物联网挖矿可能还处于PoC阶段。他预计攻击者会以同样的攻击方式针对服务器和桌面终端,因为这两大目标是相当有利可图的挖矿环境。

IBM和卡巴斯基报告称,加密货币恶意挖矿软件呈现增长的趋势。过去几个月浮出水面的虚拟货币挖矿恶意软件的感染事件包括:

  • 今年1月,Terror Exploit Kit释放门罗币“挖矿机”。

  • 某些Mirai僵尸网络变种测试加密货币挖矿功能。

  • 加密货币“挖矿机”通过“永恒之蓝”漏洞部署。

  •  Bondnet僵尸网络在约1.5万台计算机上安装门罗币“挖矿机”,大多数为Windows服务器实例。

  •  Linux.MulDrop.14恶意软件利用暴露在网上的树莓派设备挖矿。

  • 攻击者通过SambaCry漏洞利用部署EternalMiner恶意软件攻击Linux服务器。

  •  Trojan.BtcMine.1259挖矿机使用NSA DobulePulsar感染Windows计算机。

  • 今年7月,DevilRobber加密货币挖矿软件成为第二大热门Mac恶意软件。

  • 安全记者Brian Krebs提到门罗币挖矿软件Linux.BTCMine.26。

  •  CoinMiner活动利用“永恒之蓝”和WMI感染用户。

  •  Zminer木马被发现感染Amazon S3服务器

  • CodeFork团伙使用无文件恶意软件推送门罗币挖矿软件。

  •  Hiking Club恶意广告活动通过Neptune Exploit Kit释放门罗币挖矿软件。

  •  CS:GO攻击分子传送针对MacOS用户的门罗币挖矿软件。

  •  Jimmy银行木马新增门罗币挖矿支持功能。

  •  新的门罗币挖矿软件通过通讯社交软件Telegram宣传。

  •  门罗币挖矿Chrome扩展程序出现在用户浏览器内。

  • 新型Redatup恶意软件变种包含门罗币挖矿功能。

  • 加密货币挖矿恶意广告出现用户浏览器中。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。